डायनैमिक स्कैनिंग प्रक्रियाएं

ज़ेडएपी

स्कैन करने वाला टूल Web Mobile Local API Extension Serverless निर्देश
OWASP® Zed Attack Proxy (ZAP)

अपने ऐप्लिकेशन के लिए, अपने-आप डाइनैमिक स्कैन करने (डीएएसटी) करने के लिए, OWASP ZAP ; ZAP डॉकर कंटेनर का इस्तेमाल करें. पहले से तय कॉन्फ़िगरेशन फ़ाइलों में पहले से ही सभी ज़रूरी सीडब्ल्यूई शामिल हैं. आपको बस इसे अपने एनवायरमेंट और डॉकर रन कमांड में जोड़ना होगा.

हर टाइप की परिभाषा के लिए यहां क्लिक करें ऐप्लिकेशन के टाइप

वेब, मोबाइल या आंतरिक ऐप्लिकेशन पर पूरी तरह से स्कैन करने के लिए, नीचे दिया गया तरीका अपनाया जा सकता है:

  1. डीएएसटी और एपीआई स्कैन, ZAP डॉकर इमेज का इस्तेमाल करके चलाए जाएंगे. वेब, मोबाइल या संगठन में काम करने वाले ऐप्लिकेशन के लिए, पूरा ZAP स्कैन करने का काम prod-1 या स्टेजिंग एनवायरमेंट में होना चाहिए. 

  2. zap-casa-config.conf कॉन्फ़िगरेशन फ़ाइल को डाउनलोड करें और उसकी डायरेक्ट्री पर जाएं. 

  1. अपना स्कैन चलाने के लिए संदर्भ फ़ाइल जनरेट करें. ज़्यादा जानकारी के लिए, नीचे दिए गए “पुष्टि करने के तरीके” के निर्देश देखें.

  1. यह निर्देश चलाएं: 

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py 
-t https://example.com -P 8080 
-c zap-casa-config.conf 
-x results-full.xml -n example.context -U username

  1. आउटपुट, एक्सएमएल फ़ाइल में सेव होगा (यहां अटैच किया गया उदाहरण: zap-results-full.xml)

एपीआई स्कैन को नीचे दिए गए तरीके से पूरा किया जा सकता है:

  1. एपीआई स्कैन के लिए, zap-casa-api-config.conf कॉन्फ़िगरेशन फ़ाइल का इस्तेमाल करें. 

  1. इसकी डायरेक्ट्री पर जाएं और यह निर्देश चलाएं

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
-t owasp/zap2docker-stable zap-api-scan.py 
-t https://example.com -f openapi-P 8080 
-c zap-casa-api-config.conf 
-x results-full.xml

  1. आउटपुट, एक्सएमएल फ़ाइल में सेव होगा (यहां अटैच किया गया उदाहरण: zap-results-api.xml )

पुष्टि करना

यह समझने के लिए कि उपयोगकर्ता का डेटा कहां सेव किया जाता है और ऐक्सेस किया जाता है, ज़एपी ऐप्लिकेशन की पुष्टि की जानी चाहिए. इसके लिए, आपके स्कैन चलाने से पहले कॉन्फ़िगरेशन ज़रूरी है. ZAP डॉकर चित्र के ज़रिए पुष्टि करने से जुड़े दो तर्क दिए जा सकते हैं:

-n प्रसंग_फ़ाइल

टारगेट फ़ाइल स्कैन करने से पहले लोड की जाने वाली संदर्भ फ़ाइल

-U उपयोगकर्ता

पुष्टि किए गए स्कैन के लिए इस्तेमाल किया जाने वाला उपयोगकर्ता नाम. उपयोगकर्ता के बारे में दी गई रेफ़रंस फ़ाइल में बताया जाना चाहिए. 

ये पैरामीटर सेट करने के लिए, एक कॉन्टेक्स्ट फ़ाइल बनाएं. ऐसा ZAP डेस्कटॉप यूज़र इंटरफ़ेस (यूआई) की मदद से आसानी से किया जा सकता है.

ज़ैप कॉन्टेक्स्ट

  1. पुष्टि करने का तरीका सेट करें. ZAP फ़िलहाल पुष्टि करने के पांच तरीकों का इस्तेमाल करता है:

    • मैन्युअल पुष्टि करना

    • फ़ॉर्म के आधार पर पुष्टि करना

    • एचटीटीपी/NTLM की पुष्टि करें

    • स्क्रिप्ट के आधार पर पुष्टि करना

    • JSON के आधार पर पुष्टि करना

zap प्रमाणीकरण
  1. अपने पुष्टि करने वाले पैरामीटर तय करें. इसमें, आम तौर पर लॉगिन यूआरएल और पेलोड फ़ॉर्मैट (उपयोगकर्ता नाम और पासवर्ड) शामिल होता है. पुष्टि करने के लिए इस्तेमाल किए जाने वाले खास पैरामीटर, खास पैरामीटर के हिसाब से होते हैं.
zap प्रमाणीकरण कॉन्फ़िगर करें
  1. कोई मान्य उपयोगकर्ता और पासवर्ड जोड़ें. अगर ऐप्लिकेशन भूमिकाओं के आधार पर अलग-अलग फ़ंक्शन दिखाता है, तो एक से ज़्यादा उपयोगकर्ता बनाएं.
zap उपयोगकर्ता कॉन्फ़िगर करें

इन सेटिंग को कॉन्फ़िगर करने के बाद, रेफ़रंस को फ़ाइल के तौर पर एक्सपोर्ट किया जा सकता है, ताकि स्कैन करने के लिए उसका रेफ़रंस दिया जा सके.

zap निर्यात संदर्भ

संदर्भ को कहीं भी आसानी से सेव करें, क्योंकि आपको अपने स्कैन निर्देश के लिए आर्ग्युमेंट के तौर पर फ़ाइल का पाथ शामिल करना होगा. अब, आप संदर्भ में बताए गए उपयोगकर्ता लॉगिन से पुष्टि किया गया स्कैन चला पाएंगे. उदाहरण:

zap उपयोगकर्ता बनाएं 
  docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
  -t owasp/zap2docker-stable zap-full-scan.py 
  -t https://example.com -P 8080 
  -c zap-casa-config.conf -x results-full.xml 
  -n /Users/DemoUser/Documents/Context.context -U test@example.com