এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

ডায়নামিক স্ক্যানিং পদ্ধতি

ZAP

স্ক্যানিং টুল	`Web`	`Mobile`	`Local`	`API`	`Extension`	`Serverless`	নির্দেশনা
`OWASP® Zed Attack Proxy (ZAP)`							OWASP ZAP ব্যবহার করুন; আপনার অ্যাপ্লিকেশনের বিরুদ্ধে স্বয়ংক্রিয় গতিশীল স্ক্যান (DAST) সঞ্চালনের জন্য ZAP ডকার কন্টেইনার। পূর্বনির্ধারিত কনফিগারেশন ফাইলগুলিতে ইতিমধ্যেই সমস্ত প্রয়োজনীয় CWE অন্তর্ভুক্ত রয়েছে। আপনাকে যা করতে হবে তা হল আপনার পরিবেশ এবং ডকার রান কমান্ডে এটি যোগ করুন।

প্রতিটি ধরনের সংজ্ঞার জন্য এখানে ক্লিক করুন অ্যাপের ধরন

সতর্ক করা:

আপনার শুধুমাত্র একটি অ্যাক্টিভ অ্যাটাক দিয়ে পরীক্ষা করার অনুমতি আছে এমন অ্যাপ্লিকেশান অ্যাটাক করতে আপনার ZAP ব্যবহার করা উচিত৷ কারণ এটি একটি সিমুলেশন যা একটি বাস্তব আক্রমণের মতো কাজ করে, প্রকৃত ক্ষতি একটি সাইটের কার্যকারিতা, ডেটা ইত্যাদির জন্য হতে পারে৷ শুধুমাত্র আপনার অ্যাপ্লিকেশন স্টেজিং/ডেভ পরিবেশে ZAP চালান৷ আরও তথ্যের জন্য ZAP ডকুমেন্টেশন , FAQ এবং ইনস্টলেশন গাইড পড়ুন।

ওয়েব, মোবাইল বা অভ্যন্তরীণ অ্যাপ্লিকেশনগুলিতে একটি সম্পূর্ণ স্ক্যান নীচের পদক্ষেপগুলি অনুসরণ করে করা যেতে পারে:

DAST এবং API স্ক্যানগুলি ZAP ডকার ইমেজ ব্যবহার করে চালানো হবে। ওয়েব, মোবাইল বা অভ্যন্তরীণ অ্যাপ্লিকেশনগুলির জন্য, সম্পূর্ণ ZAP স্ক্যানটি একটি প্রোড-1 বা স্টেজিং পরিবেশে চালানো উচিত।
zap-casa-config.conf কনফিগারেশন ফাইলটি ডাউনলোড করুন এবং এর ডিরেক্টরিতে নেভিগেট করুন।

আপনার স্ক্যানের বিরুদ্ধে চালানোর জন্য একটি প্রসঙ্গ ফাইল তৈরি করুন। আরও বিশদ বিবরণের জন্য নীচের " প্রমাণকরণ " নির্দেশাবলী দেখুন৷

নিম্নলিখিত কমান্ড চালান:

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py 
-t https://example.com -P 8080 
-c zap-casa-config.conf 
-x results-full.xml -n example.context -U username

আউটপুট একটি XML ফাইলে সংরক্ষিত হবে (উদাহরণ এখানে সংযুক্ত: zap-results-full.xml )

একটি API স্ক্যান নিম্নলিখিত পদক্ষেপগুলি অনুসরণ করে সঞ্চালিত হতে পারে:

API স্ক্যানের জন্য, zap-casa-api-config.conf কনফিগারেশন ফাইলটি ব্যবহার করুন।

এর ডিরেক্টরিতে নেভিগেট করুন এবং নিম্নলিখিত কমান্ডটি চালান

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
-t owasp/zap2docker-stable zap-api-scan.py 
-t https://example.com -f openapi-P 8080 
-c zap-casa-api-config.conf 
-x results-full.xml

আউটপুট একটি XML ফাইলে সংরক্ষণ করা হবে (উদাহরণ এখানে সংযুক্ত: zap-results-api.xml )

প্রমাণীকরণ

ব্যবহারকারীর ডেটা কোথায় সংরক্ষিত এবং অ্যাক্সেস করা হয় তা বোঝার জন্য ZAP স্ক্যানগুলি প্রমাণীকরণের সাথে সঞ্চালিত হওয়া উচিত। এটি আপনার স্ক্যান চালানোর আগে কনফিগারেশন প্রয়োজন. ZAP ডকার ইমেজ প্রমাণীকরণ সম্পর্কিত দুটি আর্গুমেন্টের অনুমতি দেয়:

-n context_file	প্রসঙ্গ ফাইল যা লক্ষ্য স্ক্যান করার আগে লোড করা হবে
-ইউ ব্যবহারকারী	প্রমাণীকৃত স্ক্যানের জন্য ব্যবহার করার জন্য ব্যবহারকারীর নাম। ব্যবহারকারীকে অবশ্যই প্রদত্ত প্রসঙ্গ ফাইলে সংজ্ঞায়িত করতে হবে।

এই প্যারামিটার সেট করতে, একটি প্রসঙ্গ ফাইল তৈরি করতে হবে। এটি সবচেয়ে সহজে ZAP ডেস্কটপ UI এর মাধ্যমে করা হয়।

প্রমাণীকরণ প্রক্রিয়া সেট করুন। ZAP বর্তমানে পাঁচটি প্রমাণীকরণ পদ্ধতি সমর্থন করে:
- ম্যানুয়াল প্রমাণীকরণ
- ফর্ম-ভিত্তিক প্রমাণীকরণ
- HTTP/NTLM প্রমাণীকরণ
- স্ক্রিপ্ট-ভিত্তিক প্রমাণীকরণ
- JSON-ভিত্তিক প্রমাণীকরণ

আপনার প্রমাণীকরণ পরামিতি সংজ্ঞায়িত করুন। এটি সাধারণত লগইন URL এবং পেলোড বিন্যাস (ব্যবহারকারীর নাম এবং পাসওয়ার্ড) অন্তর্ভুক্ত করবে। প্রয়োজনীয় পরামিতিগুলি ব্যবহার করা হচ্ছে প্রমাণীকরণ পদ্ধতির জন্য নির্দিষ্ট।

একটি বৈধ ব্যবহারকারী এবং পাসওয়ার্ড যোগ করুন. একাধিক ব্যবহারকারী তৈরি করুন যদি অ্যাপ্লিকেশনটি ভূমিকার উপর ভিত্তি করে বিভিন্ন কার্যকারিতা প্রকাশ করে।

একবার আপনি এই সেটিংস কনফিগার করার পরে, আপনি রেফারেন্সে আপনার স্ক্যানের জন্য একটি ফাইল হিসাবে প্রসঙ্গ রপ্তানি করতে পারেন।

রেফারেন্স করা সহজ কোথাও প্রসঙ্গটি সংরক্ষণ করতে ভুলবেন না, কারণ আপনার স্ক্যান কমান্ডের জন্য একটি যুক্তি হিসাবে আপনাকে ফাইল পাথ অন্তর্ভুক্ত করতে হবে। এখন, আপনি প্রসঙ্গের মধ্যে নির্দিষ্ট ব্যবহারকারী লগইন দিয়ে একটি প্রমাণীকৃত স্ক্যান চালাতে সক্ষম হবেন। উদাহরণ:

  docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
  -t owasp/zap2docker-stable zap-full-scan.py 
  -t https://example.com -P 8080 
  -c zap-casa-config.conf -x results-full.xml 
  -n /Users/DemoUser/Documents/Context.context -U test@example.com