این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

رویه های پویش پویا

ZAP

ابزار اسکن	`Web`	`Mobile`	`Local`	`API`	`Extension`	`Serverless`	دستورالعمل ها
`OWASP® Zed Attack Proxy (ZAP)`							از OWASP ZAP استفاده کنید. ظرف داکر ZAP برای انجام اسکن های پویا خودکار (DAST) در برابر برنامه شما. فایل های پیکربندی از پیش تعریف شده در حال حاضر دارای تمام CWE های لازم هستند. تنها کاری که باید انجام دهید این است که آن را به محیط خود و دستور اجرای Docker اضافه کنید.

برای تعریف هر نوع اینجا را کلیک کنید انواع برنامه

اسکن کامل در وب، موبایل، یا برنامه های داخلی را می توان به دنبال مراحل زیر انجام داد:

اسکن‌های DAST و API با استفاده از تصویر ZAP Docker اجرا می‌شوند. برای برنامه های کاربردی وب، موبایل یا داخلی، اسکن کامل ZAP باید در محیط prod-1 یا مرحله اجرا شود.
فایل پیکربندی zap-casa-config.conf را دانلود کرده و به دایرکتوری آن بروید.

یک فایل زمینه برای اجرای اسکن خود ایجاد کنید. برای جزئیات بیشتر به دستورالعمل‌های « احراز هویت » در زیر مراجعه کنید.

دستور زیر را اجرا کنید:

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py 
-t https://example.com -P 8080 
-c zap-casa-config.conf 
-x results-full.xml -n example.context -U username

خروجی در یک فایل XML ذخیره خواهد شد (نمونه پیوست شده در اینجا: zap-results-full.xml )

اسکن API را می توان با انجام مراحل زیر انجام داد:

برای اسکن های API، از فایل پیکربندی zap-casa-api-config.conf استفاده کنید.

به دایرکتوری آن بروید و دستور زیر را اجرا کنید

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
-t owasp/zap2docker-stable zap-api-scan.py 
-t https://example.com -f openapi-P 8080 
-c zap-casa-api-config.conf 
-x results-full.xml

خروجی در یک فایل XML ذخیره خواهد شد (نمونه پیوست شده در اینجا: zap-results-api.xml )

احراز هویت

اسکن‌های ZAP باید با احراز هویت انجام شوند تا بفهمند که داده‌های کاربر کجا ذخیره شده و به آن دسترسی دارند. این نیاز به پیکربندی قبل از اجرای اسکن شما دارد. تصویر ZAP Docker به دو آرگومان مربوط به احراز هویت اجازه می دهد:

-n context_file	فایل زمینه که قبل از اسکن هدف بارگیری می شود
کاربر U	نام کاربری برای استفاده برای اسکن های تأیید شده. کاربر باید در فایل زمینه داده شده تعریف شود.

برای تنظیم این پارامترها باید یک فایل متنی ایجاد شود. این کار به راحتی از طریق رابط کاربری ZAP Desktop انجام می شود.

مکانیسم احراز هویت را تنظیم کنید. ZAP در حال حاضر از پنج روش احراز هویت پشتیبانی می کند:
- احراز هویت دستی
- احراز هویت مبتنی بر فرم
- احراز هویت HTTP/NTLM
- احراز هویت مبتنی بر اسکریپت
- احراز هویت مبتنی بر JSON

پارامترهای auth خود را تعریف کنید. این به طور کلی شامل URL ورود به سیستم و قالب بارگذاری (نام کاربری و رمز عبور) است. پارامترهای مورد نیاز مختص روش‌های احراز هویت هستند که استفاده می‌شوند.

یک کاربر و رمز عبور معتبر اضافه کنید. اگر برنامه عملکردهای متفاوتی را بر اساس نقش ها نشان می دهد چندین کاربر ایجاد کنید.

هنگامی که این تنظیمات را پیکربندی کردید، می توانید متن را به عنوان یک فایل برای اسکن خود به مرجع صادر کنید.

مطمئن شوید که متن را در جایی ذخیره کنید که به آسانی قابل ارجاع باشد، زیرا باید مسیر فایل را به عنوان آرگومان برای دستور اسکن خود وارد کنید. اکنون، می‌توانید با ورود کاربر مشخص شده در متن، یک اسکن تأیید شده را اجرا کنید. مثال:

  docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
  -t owasp/zap2docker-stable zap-full-scan.py 
  -t https://example.com -P 8080 
  -c zap-casa-config.conf -x results-full.xml 
  -n /Users/DemoUser/Documents/Context.context -U test@example.com