Dinamik Tarama Prosedürleri

399

Tarama Aracı Web Mobile Local API Extension Serverless Talimatlar
OWASP® Zed Attack Proxy (ZAP)

Uygulamanıza karşı otomatik dinamik taramalar (DAST) gerçekleştirmek için OWASP ZAP; ZAP Docker container'ını kullanın. Önceden tanımlanmış yapılandırma dosyalarında gerekli tüm CWE'ler zaten bulunur. Tek yapmanız gereken onu ortamınıza eklemek ve Docker çalıştırma komutuna sahip olmaktır.

Her türün tanımı için Burayı tıklayın Uygulama Türleri

Aşağıdaki adımlar uygulanarak Web, Mobil veya Dahili Uygulamalarda tam tarama yapılabilir:

  1. DAST ve API taramaları, ZAP Docker görüntüsü kullanılarak çalıştırılır. Web, mobil veya dahili uygulamalar için tam ZAP taraması, prod-1 veya hazırlık ortamında çalıştırılmalıdır. 

  2. zap-casa-config.conf yapılandırma dosyasını indirip dizinine gidin. 

  1. Taramanızın çalıştırılacağı bir bağlam dosyası oluşturun. Daha fazla bilgi için aşağıdaki "Kimlik Doğrulama" talimatlarını inceleyin.

  1. Aşağıdaki komutu çalıştırın: 

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py 
-t https://example.com -P 8080 
-c zap-casa-config.conf 
-x results-full.xml -n example.context -U username

  1. Çıkış XML dosyası olarak kaydedilir (örnek: zap-results-full.xml)

Aşağıdaki adımlar uygulanarak API Taraması gerçekleştirilebilir:

  1. API taramaları için zap-casa-api-config.conf yapılandırma dosyasını kullanın. 

  1. Dizinine gidin ve aşağıdaki komutu çalıştırın

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
-t owasp/zap2docker-stable zap-api-scan.py 
-t https://example.com -f openapi-P 8080 
-c zap-casa-api-config.conf 
-x results-full.xml

  1. Çıkış XML dosyası olarak kaydedilir (örnek: zap-results-api.xml )

Kimlik doğrulama

ZAP taramaları, kullanıcı verilerinin nerede depolandığını ve bunlara hangi cihazlardan erişildiğini anlamak için kimlik doğrulama ile yapılmalıdır. Bu, taramalarınızı çalıştırmadan önce yapılandırma gerektirir. ZAP Docker görüntüsü, kimlik doğrulamayla ilgili iki bağımsız değişkene olanak tanır:

-n bağlam_dosyası

Hedef taranmadan önce yüklenecek bağlam dosyası

-U kullanıcısı

Kimliği doğrulanmış taramalar için kullanılacak kullanıcı adı. Kullanıcı, belirtilen bağlam dosyasında tanımlanmalıdır. 

Bu parametreleri ayarlamak için bir içerik dosyası oluşturmanız gerekir. Bu işlemi en kolay şekilde ZAP Masaüstü kullanıcı arayüzü üzerinden yapabilirsiniz.

Zap bağlamı

  1. Kimlik doğrulama mekanizmasını ayarlayın. ZAP şu anda beş kimlik doğrulama yaklaşımını desteklemektedir:

    • Manuel Kimlik Doğrulama

    • Form Tabanlı Kimlik Doğrulama

    • HTTP/NTLM Kimlik Doğrulaması

    • Komut Dosyasına Dayalı Kimlik Doğrulama

    • JSON Tabanlı Kimlik Doğrulaması

zap Kimlik Doğrulaması
  1. Kimlik doğrulama parametrelerinizi tanımlayın. Buna genellikle giriş URL'si ve yük biçimi (kullanıcı adı ve şifre) dahildir. Gerekli parametreler, kullanılan kimlik doğrulama yöntemlerine özeldir.
zap Kimlik Doğrulamayı Yapılandır
  1. Geçerli bir kullanıcı ve şifre ekleyin. Uygulama, rollere göre farklı işlevler gösteriyorsa birden fazla kullanıcı oluşturun.
Kullanıcıları Yapılandırma zap

Bu ayarları yapılandırdıktan sonra taramanız için bağlamı bir dosya olarak dışa aktarabilirsiniz.

Zap Dışa Aktarma Bağlamı

Dosya yolunu tarama komutunun bağımsız değişkeni olarak eklemeniz gerekeceğinden, bağlamı kolayca referans verebileceğiniz bir yere kaydettiğinizden emin olun. Artık, kullanıcı adı bağlama uygun şekilde kimliği doğrulanmış bir tarama çalıştırabilirsiniz. Örnek:

zap Kullanıcı Oluştur 
  docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
  -t owasp/zap2docker-stable zap-full-scan.py 
  -t https://example.com -P 8080 
  -c zap-casa-config.conf -x results-full.xml 
  -n /Users/DemoUser/Documents/Context.context -U test@example.com