399
Tarama Aracı | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Talimatlar |
---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Uygulamanıza karşı otomatik dinamik taramalar (DAST) gerçekleştirmek için OWASP ZAP; ZAP Docker container'ını kullanın. Önceden tanımlanmış yapılandırma dosyalarında gerekli tüm CWE'ler zaten bulunur. Tek yapmanız gereken onu ortamınıza eklemek ve Docker çalıştırma komutuna sahip olmaktır. |
Her türün tanımı için
Burayı tıklayın
Aşağıdaki adımlar uygulanarak Web, Mobil veya Dahili Uygulamalarda tam tarama yapılabilir:
-
DAST ve API taramaları, ZAP Docker görüntüsü kullanılarak çalıştırılır. Web, mobil veya dahili uygulamalar için tam ZAP taraması, prod-1 veya hazırlık ortamında çalıştırılmalıdır.
-
zap-casa-config.conf yapılandırma dosyasını indirip dizinine gidin.
-
Taramanızın çalıştırılacağı bir bağlam dosyası oluşturun. Daha fazla bilgi için aşağıdaki "Kimlik Doğrulama" talimatlarını inceleyin.
-
Aşağıdaki komutu çalıştırın:
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py -t https://example.com -P 8080 -c zap-casa-config.conf -x results-full.xml -n example.context -U username
-
Çıkış XML dosyası olarak kaydedilir (örnek: zap-results-full.xml)
Aşağıdaki adımlar uygulanarak API Taraması gerçekleştirilebilir:
-
API taramaları için zap-casa-api-config.conf yapılandırma dosyasını kullanın.
-
Dizinine gidin ve aşağıdaki komutu çalıştırın
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-api-scan.py -t https://example.com -f openapi-P 8080 -c zap-casa-api-config.conf -x results-full.xml
-
Çıkış XML dosyası olarak kaydedilir (örnek: zap-results-api.xml )
Kimlik doğrulama
ZAP taramaları, kullanıcı verilerinin nerede depolandığını ve bunlara hangi cihazlardan erişildiğini anlamak için kimlik doğrulama ile yapılmalıdır. Bu, taramalarınızı çalıştırmadan önce yapılandırma gerektirir. ZAP Docker görüntüsü, kimlik doğrulamayla ilgili iki bağımsız değişkene olanak tanır:
-n bağlam_dosyası |
Hedef taranmadan önce yüklenecek bağlam dosyası |
-U kullanıcısı |
Kimliği doğrulanmış taramalar için kullanılacak kullanıcı adı. Kullanıcı, belirtilen bağlam dosyasında tanımlanmalıdır. |
Bu parametreleri ayarlamak için bir içerik dosyası oluşturmanız gerekir. Bu işlemi en kolay şekilde ZAP Masaüstü kullanıcı arayüzü üzerinden yapabilirsiniz.
-
Kimlik doğrulama mekanizmasını ayarlayın. ZAP şu anda beş kimlik doğrulama yaklaşımını desteklemektedir:
-
Manuel Kimlik Doğrulama
-
Form Tabanlı Kimlik Doğrulama
-
HTTP/NTLM Kimlik Doğrulaması
-
Komut Dosyasına Dayalı Kimlik Doğrulama
-
JSON Tabanlı Kimlik Doğrulaması
-
- Kimlik doğrulama parametrelerinizi tanımlayın. Buna genellikle giriş URL'si ve yük biçimi (kullanıcı adı ve şifre) dahildir. Gerekli parametreler, kullanılan kimlik doğrulama yöntemlerine özeldir.
- Geçerli bir kullanıcı ve şifre ekleyin. Uygulama, rollere göre farklı işlevler gösteriyorsa birden fazla kullanıcı oluşturun.
Bu ayarları yapılandırdıktan sonra taramanız için bağlamı bir dosya olarak dışa aktarabilirsiniz.
Dosya yolunu tarama komutunun bağımsız değişkeni olarak eklemeniz gerekeceğinden, bağlamı kolayca referans verebileceğiniz bir yere kaydettiğinizden emin olun. Artık, kullanıcı adı bağlama uygun şekilde kimliği doğrulanmış bir tarama çalıştırabilirsiniz. Örnek:
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py -t https://example.com -P 8080 -c zap-casa-config.conf -x results-full.xml -n /Users/DemoUser/Documents/Context.context -U test@example.com