Пытается использовать ZAP (2.4.3) в настройке непрерывной интеграции (CI). Я могу запустить ZAP в качестве демона, запустить все свои тесты Selenium (на Java) с помощью ZAP в качестве прокси-сервера, а затем использовать REST api для вызова htmlreport
, чтобы получить окончательный отчет о пассивном сканере. Это отлично работает, но я также хотел бы использовать Active Scanner.OWASP ZAP: активный сканер в интеграции Continuos
Использование активного сканера в CI упоминается несколько раз в документации ZAP, но не найдено ни одного рабочего примера или учебника об этом ... существует ли какая-либо проблема?
То, что я хотел бы достичь, это что-то вроде: Запустить активный сканер на всех страницах, посещенных селеной регрессионной программой, после того, как она закончена.
Попытка взглянуть на REST API ZAP, но в основном без документов:
https://github.com/zaproxy/zaproxy/wiki/ApiGen_Index
В идеале, было бы здорово иметь что-то вроде:
- Начало активного сканирования асинхронно на всех посещенные URL-адреса
- Опрос, чтобы проверить, завершен ли активный сканирование
В REST API, кажется, есть что-то связано, но:
ascan/scan
нужен URL в качестве входных данных. Можете позвонитьcore/urls
, чтобы узнать, что посетили тесты Selenium, но как установить правильную аутентификацию (учетные данные для регистрации)? Что делать, если порядок, в котором посещаются URL-адреса, важен? Что делать, если страница доступна только с определенными полномочиями?- есть
ascan/scanAsUser
, но неясно, какcontextId
иuserId
могут быть получены из ZAP. Громоздким обходным решением было бы изменить тесты Selenium, чтобы записать на диск URL-адреса, которые они посещают, и какие учетные данные для ведения журнала/пароля они используют, а затем, после завершения всех тестов, читать с диска такую информацию для вызова ZAP. Есть ли более простой способ?
спасибо. Я отправил его на https://groups.google.com/forum/#!topic/zaproxy-users/y2MHYEOr-HQ с дополнительными вопросами – arcuri82