security - 如何针对 OWASP Benchmark 正确运行 ZAP?
问题描述
我现在已经尝试了几个星期来正确地针对 owasp 基准运行 zap。但我失败了——因为结果比旧版本的 zap 更差。
这是生成的记分卡,其中包含我的 ZAP 2.7 实例所达到的分数。我真的很怀疑这句话的正确性。所以我想可能出了点问题,我重复了基准测试,又花了将近一天半的时间(不确定这是否正常——我拥有一台带有 i7-3520M 的 Thinkpad 430)。
我按照基准页面的提示部分中的描述配置了 zap 。起初我遇到了 RAM 的问题。因此,我升级到了 16G(就像推荐的那样,所以现在这应该不是问题,因为根据free
. 我有足够的可用 RAM。我的操作系统详细信息:
~ >>> lsb_release -a
LSB Version: n/a
Distributor ID: ManjaroLinux
Description: Manjaro Linux
Release: 18.0.2
Codename: Illyria
~ >>> uname -a
Linux maksbook 4.19.13-1-MANJARO #1 SMP PREEMPT Sat Dec 29 15:43:56 UTC 2018 x86_64 GNU/Linux
~ >>>
幸运的是,我没有遇到上面提到的冻结问题。虽然我现在很无奈如何继续前进。因为我确信我到目前为止所做的测量是错误的。
帮助将不胜感激!
编辑:我尝试了提到的方法:对每个测试用例逐个运行扫描。不幸的是,这并没有改变。我还尝试针对基准运行 arachni。由于此错误,它第一次崩溃。我重新配置了 arachni 并重新开始了扫描。当/如果我得到结果时,我会更新。
编辑 2:所以再试一次,这次我不确定 zap 是否不是问题。这次我只关注路径遍历漏洞。猜猜看 - zap 没有捕捉到任何这些(0/268版本 1.2 预期)。我将上下文设置为所有路径遍历案例(请参见下面的屏幕截图),仅为路径遍历实例配置策略(甚至设置疯狂的强度)。具有讽刺意味的是,zap 在其他情况下发现了一些路径遍历(完整扫描 - 默认上下文见这里)现在我真的很失望。不过,我希望我做错了什么。
解决方案
推荐阅读
- python - REST API:如何防止“现有连接被远程主机强行关闭”
- r - 如何取双打向量的平均值
- azure - Azure 容器定期同步
- cordova - Cordova 文件选择器允许多种 Mime 类型
- timestamp - Instagram 媒体文件名到时间戳的转换
- java - 使用包 xyz 时出现 java.lang.NoClassDefFoundError;在上面。否则工作
- visual-studio - 如何在 VSTO 解决方案上运行 Roslyn 代码分析?
- python - QML Connections 目标:参考 Connections 父级
- gcc - 在 GNU Linux 中产生很少我们的短暂延迟
- javascript - 为什么这个 SVG 异物没有在 Firefox 中显示,但它在 chrome 中?