برنامج Zap
أداة المسح الضوئي | Web |
Mobile |
Local |
API |
Extension |
Serverless |
التعليمات |
---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
استخدِم OWASP ZAP ; حاوية Zap الإرساء لإجراء عمليات فحص ديناميكية مبرمَجة (DAST) على تطبيقك. وتحتوي ملفات الضبط المحدّدة مسبقًا على جميع CWES اللازمة. كل ما عليك فعله هو إضافته إلى بيئتك وأمر Runer run. |
لتعريف كل نوع
انقر هنا
يمكن إجراء فحص كامل على الويب أو الأجهزة الجوّالة أو التطبيقات الداخلية باتّباع الخطوات التالية:
-
سيتم تنفيذ عمليات فحص DAST وواجهة برمجة التطبيقات باستخدام صورة شريط إرساء ZAP. بالنسبة إلى التطبيقات على الويب أو على الأجهزة الجوّالة أو التطبيقات الداخلية، يجب تشغيل فحص ZAP الكامل على بيئة prod-1 أو مرحلية.
-
نزِّل ملف الإعداد zap-casa-config.conf وانتقِل إلى دليله.
-
عليك إنشاء ملف سياق ليتم فحصه ضوئيًا. يُرجى الاطّلاع على تعليمات المصادقة أدناه للحصول على مزيد من التفاصيل.
-
شغِّل الأمر التالي:
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py -t https://example.com -P 8080 -c zap-casa-config.conf -x results-full.xml -n example.context -U username
-
سيتم حفظ النتائج في ملف XML (على سبيل المثال مرفق هنا: zap-results-full.xml)
يمكن فحص واجهة برمجة التطبيقات باتّباع الخطوات التالية:
-
بالنسبة إلى عمليات فحص واجهة برمجة التطبيقات، استخدِم ملف الإعداد zap-casa-api-config.conf.
-
الانتقال إلى الدليل وتشغيل الأمر التالي
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-api-scan.py -t https://example.com -f openapi-P 8080 -c zap-casa-api-config.conf -x results-full.xml
-
سيتم حفظ النتائج في ملف XML (على سبيل المثال مُرفق هنا: zap-results-api.xml )
المصادقة
يجب إجراء عمليات فحص ZAP باستخدام المصادقة لمعرفة مكان تخزين بيانات المستخدم والوصول إليها. يتطلب هذا الإعداد قبل إجراء عمليات الفحص. تسمح صورة Zap الإرساء بوسيطتين تتعلق بالمصادقة:
-n context_file |
ملف السياق الذي سيتم تحميله قبل فحص الهدف |
-مستخدم |
اسم المستخدم المطلوب استخدامه لعمليات الفحص التي تمت مصادقتها. يجب تحديد المستخدم في ملف السياق المحدّد. |
لضبط هذه المعلّمات، يجب إنشاء ملف سياق. ويتم تنفيذ ذلك بسهولة أكبر من خلال واجهة مستخدم ZAP Desktop.
-
اضبط آلية المصادقة. يتيح برنامج Zap حاليًا خمس طرق للمصادقة:
-
مصادقة يدوية
-
المصادقة المستندة إلى النموذج
-
مصادقة HTTP/NTLM
-
المصادقة المستندة إلى النص البرمجي
-
المصادقة المستندة إلى JSON
-
- حدِّد معلّمات المصادقة. ويتضمن ذلك بشكل عام عنوان URL لصفحة تسجيل الدخول وتنسيق الحمولة (اسم المستخدم وكلمة المرور). ترتبط المعلمات المطلوبة بطرق المصادقة المستخدمة.
- يُرجى إضافة مستخدم وكلمة مرور صالحين. إنشاء مستخدمين متعددين إذا أظهر التطبيق وظائف مختلفة استنادًا إلى الأدوار.
بعد ضبط هذه الإعدادات، يمكنك تصدير السياق كملف لاستخدامه في عملية الفحص.
احرص على حفظ السياق في مكان يسهل الرجوع إليه، حيث ستحتاج إلى تضمين مسار الملف كوسيطة لأمر الفحص. وسيكون بإمكانك الآن إجراء فحص تمت مصادقته باستخدام معلومات تسجيل دخول المستخدم المحدّدة ضمن السياق. مثال:
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py -t https://example.com -P 8080 -c zap-casa-config.conf -x results-full.xml -n /Users/DemoUser/Documents/Context.context -U test@example.com