我的要求是使用 TFS DevOps 管道执行“经过身份验证的扫描”,为此我在 TFS 下添加了“OWASP Zed Attack Proxy Scan”扩展并在管道中添加了任务。我还安装了 OWASP 桌面应用程序(2.11.1),管道在网站上的“未验证模式”下工作正常,但我需要进行“已验证扫描”以便工具也可以在登录页面后识别错误/漏洞,如何做到这一点?
最佳答案
首先,您不需要使用 ZAP 桌面应用程序 - ZAP 可以以多种更适合自动化的方式运行 - 请参阅 https://www.zaproxy.org/docs/automate/
其次,身份验证可能是一个真正的痛苦 - 应用程序处理它的方式有很多种 :( 看看 https://www.zaproxy.org/videos-list/ 上的官方 ZAP 视频 - 您可以搜索“Auth”在标签中将范围缩小到最相关的标签。
关于azure-devops - DevOps 管道中的 OWASP Zed 攻击代理扫描,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69452668/