測試開發之安全篇-使用禅道ZTF执行OWASP安全扫描
原創-
陳琦
-
2023-05-29 10:00:00
-
2631
开放Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个开源、非盈利、全球性的安全组织,致力于应用软件的安全性方面的研究。OWASP安全标准被视为Web应用安全领域的权威参考。美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP,美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则,国际信用卡数据安全技术PCI标准更是将其列为必要组件。
OWAPS TOP 10是该组织定期发布的10项最严重Web应用安全风险列表,该列表总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞。它是安全渗透测试工作的一个参考,成为IBM APPSCAN、HP WEBINSPECT等漏洞扫描器的主要标准。
ZAP(Zed Attack Proxy)是OWASP旗下的一款开源Web应用安全漏洞扫描工具。它通过代理的方式,拦截同被测系统间的请求和响应,进行模拟攻击和分析来寻找安全性漏洞。本文给大家分享,如何使用ZTF调用ZAP执行安全扫描,并将结果提交到禅道項目管理系统。
首先,我來簡單了解下ZAP客戶端工具的使用方法。
- 從 官網下載所需操作系统的、以Installer结尾的安装文件;
- 完成ZAP客戶端軟件的安裝;
- 第一次打开ZAP应用,在弹出窗口中选择第3项“No, I do not want to persist this session at this moment in time.”,意为之后需要时再手动保存会话;
-
打開的客戶端中,界面中包含如下的6個功能區域;
- 菜單欄
- 工具欄
- 站點、腳本樹狀結構
- 工作區
- 信息窗口
- 狀態欄
- 在Quick Start的标签页,點擊
Automated Scan按鈕;
- 在文本框 URL to attack中填入需要掃描的網站地址;
- 安裝所選擇的浏覽器(此處爲Firefox),其他和上圖保持一致;
- 點擊 Attack按鈕,開始掃描;
- 掃描結束後進入以下報告頁面。
在前面的Quick Start的标签页中:
- 您可以通过點擊 Manual Explore按鈕,給掃描工作一個基于URL的站點地圖指引,以提高掃描效率;
- 點擊Lean More可获得更多的幫助信息,如站点登录认证等方面的高级功能。
有了對ZAP基本功能的了解,接下來我們分享,如何在禅道ZTF中集成ZAP,開展安全漏洞的掃描工作。
- 參照以上步驟,創建一個ZAP安全掃描的Session會話,並保存;
- 完成需要的配置,如站點地圖指引、登錄認證、掃描規則等設置;
- 從 官網下載ZAP名为 Cross Platform Package的跨平台JAR包;
-
使用以下命令启动ZAP服務,其中参数-daemon设置不显示客户端界面;
java -jar zap-2.12.0.jar -config api.key=my_api_key -daemon -session /Users/aaron/rd/project/testing/zap_deeptest.session -
執行下列ZTF命令,使用上面創建的Session,啓動安全掃描任務。
zap -p 1 -t task-zap --verbose -options server=http://localhost:8080,apiKey=api_key,site=https://httpbin.org/其中參數:
-p: 禅道産品编号
-t: 禅道测试单编号
-options: 以逗号分隔字符串的方式,指定了ZAP的扫描参数- server:ZAP服務器的访问地址
- apiKey:ZAP服務访问凭证,同启动服務时参数一致
- site:所要掃描的站點URL,報告也會基于此URL過濾
ZTF會等待安全掃描的結束,獲取掃描結果,並提交到禅道。
最後,給大家列一下本文相關的ZAP啓動命令和API接口,具體Go語言的封裝可以參考 這裏。
# 启动ZAP服務 java -jar zap-2.12.0.jar -config api.key=my_api_key -daemon -session /Users/aaron/rd/project/testing/zap_deeptest.session # 执行扫描任务,该命令会返回一个唯一的识别号ScanId。 http://localhost:8080/JSON/core/view/alerts/?apikey=my_api_key&baseurl=https://httpbin.org/&start=0&count=10000 # 获取扫描任务进度 http://localhost:8080/JSON/spider/view/status/?apikey=my_api_key&scanId=1 # 获取扫描结果 http://localhost:8080/JSON/core/view/alerts/?apikey=my_api_key&baseurl=https://deeptest.org/&start=0&count=10000 # 停止指定扫描任务,ScanId来詮内开始命令的返回。 http://localhost:8080/JSON/ascan/action/stop/?apikey=my_api_key&scanId=10 # 停止服務器上的所有扫描任务 http://localhost:8080/JSON/ascan/action/stopAllScans/?apikey=my_api_key
-
-
禅道産品
禅道開源版 禅道企業版 禅道旗艦版 禅道IPD版 -
核心功能
産品管理 項目管理 質量管理 效能管理 -
使用文檔
基本版手冊 企業版手冊 旗艦版手冊 IPD版手冊 開發中心手冊 -
幫助中心
积分問答 常見問題 論壇交流 使用視頻 Gitee GitHub -
關于我們
關于我們 禅道軟件 最新動態 禅道活動 -
禅道社區
禅道博客 積分排行 積分商城 禅道書院 -
聯系方式
聯系人:劉斌 電話:17685869372 微信:17685869372 Q Q:526288068北京、上海、深圳分部
名額有限
完善信息领取項目管理礼包
