传递登录参数以在docker命令上使用owasp zap进行扫描

Question

我试图执行命令以登录攻击应用程序，但我不知道如何将我的用户和密码传递给url。

登录会发送一个帖子，其中包含用户名和密码以验证是否存在。

命令atack。

搬运工运行--rm -v $（PWD）：/ ZAP/WRK /：RW -t OWASP/zap2docker稳定zap-baseline.py -t http://172.31.95.32:8080/myapp/login -g gen.conf -r testreport.html authMethodName： formBasedAuthentication authMethodConfigParams：loginUrl = http://172.31.95.32:8080/myapp/login

Answer 1

仅供参考。我不得不使用ictu/zap2docker-weekly图像来完成这个目标。

这里是一些例子的回购。

https://github.com/ICTU/zap-baseline

Answer 2

你最好在gui模式下运行ZAP并整理你可以导出的Context配置。然后，您可以在需要的任何CI或CD过程中导入和重新使用您的上下文。

zap-baseline.py是为了完成它的名字所暗示的意思。为您的应用/服务提供简单（仅被动）评估。

有关ZAP基线扫描更多详细信息，请访问：

• https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
• https://blog.mozilla.org/security/2017/01/25/setting-a-baseline-for-web-security-controls/