上下文:
我们使用 OWASP Zed Attack Proxy 2.7.0 版对应用程序进行漏洞测试。我们收到了一些警报,正在解决问题。
问题:
我们想要挑出一条警告“Web 浏览器 XSS 保护未启用”并运行验证。
我们正在尝试的解决方案:
我们正在探索的可能性之一是运营模式。我们现在能够执行其中一种操作模式,例如标准、攻击等......。 有没有办法自定义操作模式并运行单个警报?
最佳答案
是的,您只需要启用特定的扫描规则并禁用所有其他规则。最简单的方法是在桌面 UI 中配置扫描策略,然后将其导出。然后您可以使用它进行自动扫描。
在这种情况下,警报是被动的。您检查过基线扫描吗? https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
我们在 Mozilla 每天使用它来对数百个网站进行健全性检查。您可以轻松生成配置文件,然后使用文本编辑器更改它,以便它仅报告您感兴趣的问题。
关于java - 我们可以挑出一个警报(例如 "Web Browser XSS Protection Not Enabled")并在 ZAP 代理中重新运行吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48556619/