我正在使用 OWASP ZAP 扫描 Web 应用程序。扫描后,我可以将收到的警报导出为 PDF 文件。此 PDF 文件仅包含警报。问题是我能否获得扫描应用程序时通过和失败的所有测试的完整列表?我知道我可以使用 ZAP 的 API 来获取所有扫描规则,但这并不是我真正需要的。我需要一份显示所有通过和失败的测试的报告。像这样的事情:
|测试名称 |通过/失败 |
|测试编号1 |通过 |
|测试编号2 |失败 |
最佳答案
OWASP ZAP(以及实际上所有其他安全动态测试工具)中不存在通过测试之类的东西。 OWASP ZAP 拥有一组攻击向量,并将它们放入对测试应用程序的不同请求中。当它发现漏洞时——很好。将会被报道。如果不是——那么,它什么也不做。没有发现任何东西并不能证明不存在漏洞。根本没有什么可报告的。
话虽如此,亲自手动查看生成的请求的历史记录以查看应用程序是否正确完成其工作始终是一个好主意。另请查看 ZAP 正在访问的 URL。这是你想要测试的吗?让我哭泣的常见错误是对登录屏幕进行渗透测试,因为您没有正确配置身份验证。
关于security - Owasp zap 工具 - 如何获取通过和失败测试的列表?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62719718/