इस पेज का अनुवाद Cloud Translation API से किया गया है.

डाइनैमिक स्कैनिंग के तरीके

ZAP

स्कैनिंग टूल	`Web`	`Mobile`	`Local`	`API`	`Extension`	`Serverless`	निर्देश
`OWASP® Zed Attack Proxy (ZAP)`							अपने ऐप्लिकेशन के लिए, ऑटोमेटेड डाइनैमिक स्कैन (DAST) करने के लिए, OWASP ZAP का इस्तेमाल करें; ZAP Docker कंटेनर का इस्तेमाल करें. पहले से तय कॉन्फ़िगरेशन फ़ाइलों में, पहले से ही सभी ज़रूरी CWE शामिल होते हैं. आपको बस इसे अपने एनवायरमेंट और Docker run कमांड में जोड़ना होगा.

हर टाइप की परिभाषा के लिए यहां क्लिक करें ऐप्लिकेशन के टाइप

चेतावनी:

आपको ZAP का इस्तेमाल सिर्फ़ ऐसे ऐप्लिकेशन पर हमला करने के लिए करना चाहिए जिसके पास आपको ऐक्टिव हमले के साथ टेस्ट करने की अनुमति है. यह एक सिम्युलेशन है, जो किसी असली हमले की तरह काम करता है. इससे साइट की मुख्य सुविधाओं, डेटा वगैरह को असल नुकसान पहुंच सकता है. ZAP को सिर्फ़ अपने ऐप्लिकेशन के स्टैजिंग/डेवलपर एनवायरमेंट पर चलाएं. ज़्यादा जानकारी के लिए, ZAP के दस्तावेज़, अक्सर पूछे जाने वाले सवाल , और इंस्टॉलेशन गाइड पढ़ें.

वेब, मोबाइल या इंटरनल ऐप्लिकेशन का पूरा स्कैन करने के लिए, यहां दिया गया तरीका अपनाएं:

DAST और एपीआई स्कैन, ZAP Docker इमेज का इस्तेमाल करके चलाए जाएंगे. वेब, मोबाइल या इंटरनल ऐप्लिकेशन के लिए, ZAP का पूरा स्कैन प्रोडक्शन-1 या स्टैजिंग एनवायरमेंट पर चलाया जाना चाहिए.
zap-casa-config.conf कॉन्फ़िगरेशन फ़ाइल डाउनलोड करें और उसकी डायरेक्ट्री पर जाएं.

स्कैन के लिए संदर्भ फ़ाइल जनरेट करें. ज़्यादा जानकारी के लिए, नीचे दिए गए “पुष्टि करने” के निर्देश देखें.

यह कमांड चलाएं:

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py 
-t https://example.com -P 8080 
-c zap-casa-config.conf 
-x results-full.xml -n example.context -U username

आउटपुट, एक्सएमएल फ़ाइल में सेव हो जाएगा (उदाहरण यहां अटैच किया गया है: zap-results-full.xml)

एपीआई स्कैन करने के लिए, यह तरीका अपनाएं:

एपीआई स्कैन के लिए, zap-casa-api-config.conf कॉन्फ़िगरेशन फ़ाइल का इस्तेमाल करें.

इसकी डायरेक्ट्री पर जाएं और नीचे दिया गया कमांड चलाएं

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
-t owasp/zap2docker-stable zap-api-scan.py 
-t https://example.com -f openapi-P 8080 
-c zap-casa-api-config.conf 
-x results-full.xml

आउटपुट, एक्सएमएल फ़ाइल में सेव हो जाएगा (उदाहरण यहां अटैच किया गया है: zap-results-api.xml )

पुष्टि करना

उपयोगकर्ता का डेटा कहां सेव और ऐक्सेस किया जाता है, यह जानने के लिए ZAP स्कैन की पुष्टि की जानी चाहिए. स्कैन करने से पहले, इसे कॉन्फ़िगर करना ज़रूरी है. ZAP Docker इमेज, पुष्टि से जुड़े दो आर्ग्युमेंट की अनुमति देती है:

-n context_file	टारगेट को स्कैन करने से पहले लोड की जाने वाली कॉन्टेक्स्ट फ़ाइल
-U उपयोगकर्ता	प्रमाणित स्कैन के लिए इस्तेमाल करने के लिए उपयोगकर्ता नाम. उपयोगकर्ता को दी गई कॉन्टेक्स्ट फ़ाइल में तय किया जाना चाहिए.

ये पैरामीटर सेट करने के लिए, एक संदर्भ फ़ाइल बनाई जानी चाहिए. ZAP के डेस्कटॉप यूज़र इंटरफ़ेस (यूआई) की मदद से, ऐसा आसानी से किया जा सकता है.

पुष्टि करने का तरीका सेट करें. फ़िलहाल, ZAP में पुष्टि करने के पांच तरीके काम करते हैं:
- मैन्युअल तरीके से पुष्टि करें
- फ़ॉर्म के आधार पर पुष्टि करना
- एचटीटीपी/NTLM ऑथेंटिकेशन
- स्क्रिप्ट के आधार पर पुष्टि करना
- JSON फ़ॉर्मैट में पुष्टि करना

पुष्टि करने के पैरामीटर तय करें. आम तौर पर, इसमें लॉगिन यूआरएल और पेलोड फ़ॉर्मैट (उपयोगकर्ता नाम और पासवर्ड) शामिल होता है. ज़रूरी पैरामीटर, पुष्टि करने के इस्तेमाल किए जा रहे तरीकों के हिसाब से होते हैं.

कोई मान्य उपयोगकर्ता नाम और पासवर्ड जोड़ें. अगर ऐप्लिकेशन में भूमिकाओं के आधार पर अलग-अलग सुविधाएं उपलब्ध कराई जाती हैं, तो कई उपयोगकर्ता बनाएं.

उपयोगकर्ताओं को कॉन्फ़िगर करने के लिए zap

इन सेटिंग को कॉन्फ़िगर करने के बाद, स्कैन के रेफ़रंस के लिए कॉन्टेक्स्ट को फ़ाइल के तौर पर एक्सपोर्ट किया जा सकता है.

कॉन्टेक्स्ट को किसी ऐसी जगह पर सेव करें जहां से उसे आसानी से रेफ़र किया जा सके. ऐसा इसलिए, क्योंकि आपको स्कैन करने के लिए दिए गए निर्देश में, फ़ाइल पाथ को आर्ग्युमेंट के तौर पर शामिल करना होगा. अब, कॉन्टेक्स्ट में बताए गए उपयोगकर्ता लॉगिन की मदद से, आपके पास पुष्टि किया गया स्कैन करने का विकल्प होगा. उदाहरण:

  docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
  -t owasp/zap2docker-stable zap-full-scan.py 
  -t https://example.com -P 8080 
  -c zap-casa-config.conf -x results-full.xml 
  -n /Users/DemoUser/Documents/Context.context -U test@example.com