security - 如何针对 OWASP Benchmark 正确运行 ZAP？

问题描述

我现在已经尝试了几个星期来正确地针对 owasp 基准运行 zap。但我失败了——因为结果比旧版本的 zap 更差。

这是生成的记分卡，其中包含我的 ZAP 2.7 实例所达到的分数。我真的很怀疑这句话的正确性。所以我想可能出了点问题，我重复了基准测试，又花了将近一天半的时间（不确定这是否正常——我拥有一台带有 i7-3520M 的 Thinkpad 430）。

我按照基准页面的提示部分中的描述配置了 zap 。起初我遇到了 RAM 的问题。因此，我升级到了 16G（就像推荐的那样，所以现在这应该不是问题，因为根据free. 我有足够的可用 RAM。我的操作系统详细信息：

~ >>> lsb_release -a
LSB Version:    n/a
Distributor ID: ManjaroLinux
Description:    Manjaro Linux
Release:    18.0.2
Codename:   Illyria
~ >>> uname -a
Linux maksbook 4.19.13-1-MANJARO #1 SMP PREEMPT Sat Dec 29 15:43:56 UTC 2018 x86_64 GNU/Linux
~ >>>  

幸运的是，我没有遇到上面提到的冻结问题。虽然我现在很无奈如何继续前进。因为我确信我到目前为止所做的测量是错误的。

帮助将不胜感激！

编辑：我尝试了提到的方法：对每个测试用例逐个运行扫描。不幸的是，这并没有改变。我还尝试针对基准运行 arachni。由于此错误，它第一次崩溃。我重新配置了 arachni 并重新开始了扫描。当/如果我得到结果时，我会更新。

编辑 2：所以再试一次，这次我不确定 zap 是否不是问题。这次我只关注路径遍历漏洞。猜猜看 - zap 没有捕捉到任何这些（0/268版本 1.2 预期）。我将上下文设置为所有路径遍历案例（请参见下面的屏幕截图），仅为路径遍历实例配置策略（甚至设置疯狂的强度）。具有讽刺意味的是，zap 在其他情况下发现了一些路径遍历（完整扫描 - 默认上下文见这里）现在我真的很失望。不过，我希望我做错了什么。

标签： securitybenchmarkingowaspzap