Ho due set up con ZAP e selenio, locale e su Jenkins.
A livello locale, posso avviare ZAP, eseguire un processo Selenium con ZAP come proxy, quindi avviare lo spider e quindi inserire ZAP in modalità di attacco. Ciò farà sorgere una serie di problemi.
Su Jenkins, ho un lavoro di build che avvierà ZAP come passo pre-build, eseguirà lo stesso processo di selenio tramite ZAP come proxy come passo di generazione e quindi eseguirà lo spider e la scansione attiva come un passo post-build . (Seguo un approccio molto simile a questo: link )
Quest'ultimo approccio presenta molti meno errori rispetto all'approccio locale. Perché dovrebbe essere?
Durante un'ulteriore ispezione, sembra che ZAP non stia controllando ogni URL che il selenio accede tramite ZAP come proxy. È come se non ricordasse gli url accessibili dal Selenio e non si preoccupasse di scannerizzarli. Ma perché dovrebbe succedere? Ci sono delle impostazioni nel plug-in ZAP ufficiale che mi manca e che determinerebbero questo?
Per alcune informazioni aggiuntive, l'applicazione che sto test gira in Tomcat. ZAP sembra attaccare gli url specifici di Tomcat, come il link . A parte quelli, tuttavia, sembra attaccare solo quegli URL che erano esplicitamente elencati nel contesto (cioè link ). Almeno, mostra solo le vulnerabilità relative a questi.
Inoltre, è possibile che io, in Jenkins, venga visualizzato un elenco completo di tutte le richieste effettuate come parte della scansione attiva, proprio come posso fare con il mio ZAP locale?