大家好,我是阿萨。前几天我们学习了ZAP 的一些基本用法。已经算ZAP入门了。今天开始我们学习一些ZAP特有的特性。方便大家日常工作中使用。
之前我们都是全量扫描, 经过报告分析,开发人员或者自己分析后发现有些漏洞,其实是误报,或者不涉及测试的产品,该怎么办?还有些同学说了如果只关心敏感信息泄露或者是XSS攻击,该如何扫描?今天我们就分别介绍下各种设置。
一. 主动扫描策略
1. 入口
从如下位置打开扫描策略。Analyse-- Scan Policy Manager…….
扫描策略对话框
2. 设置含义
在主动扫描时可以启用或者禁用某一类规则。不想扫描的Category,直接设置阈值为Off,就可以直接忽略该Category.
注意:被动扫描规则不再通过这个对话框管理,而是通过Options Passive Scan Rules(选项---被动扫描规则)管理。
Policy:策略名称。
Default Alert Threshold:默认告警阈值。级别越高,告警越少。表示只会上报高级别的告警,其他告警会忽略。
Default Attack Strength: 默认攻击强度。 强度越高,破坏性越大。
Apply XX Threshold to All Rules:表示应用XXXX阈值到所有规则。
Apply XX Strength to All Rules: 表示 应用XX 强度到所有规则。
点击Go 才能生效。
3. 阈值
这控制了ZAP报告潜在漏洞的可能性。
如果选择“关闭”,那么将不会使用这一类规则。
如果你选择低,那么更多的潜在问题将被提出,这可能会增加误报的数量。
如果您选择高,那么将提出更少的潜在问题,这可能意味着一些真正的问题被错过(假阴性)。
4. 强度
控制ZAP将执行的攻击数量。如果你选择低,那么只会做更少的攻击,速度也快,但可能会错过一些问题。如果你选择高,那么会做更多的攻击,这可能会发现更多的问题,但将花更长的时间。Insane(疯狂关卡)通常只适用于应用程序的一小部分,因为它可能会导致大量攻击,这可能需要相当长的时间。
请注意,在扫描强度方面使用Insane (“疯狂”)一词只是为了代表扫描强度的极限。不包含任何人身攻击或者敏感词汇。
二. 被动扫描策略
- 入口。
Tools---Options----Passive Scan Rules -
通过上面界面,可以配置被动扫描规则。如果不想扫描该规则,Threshold直接设置关闭即可。
2. 阈值
这控制了ZAP报告潜在漏洞的可能性。
如果选择“关闭”,那么将不会运行此规则ding。
如果你选择低,那么更多的潜在问题将被提出,这可能会增加误报的数量。
如果您选择高,那么将提出更少的潜在问题,这可能意味着一些真正的问题被错过(假阴性)。
3. Passive Scanner 设置含义
Only scan messages in scope:(只扫描作用域内的消息):
设置是否只对作用域中的消息执行被动扫描。
Include traffic from the Fuzzer when passive scanning(被动扫描时包括来自Fuzzer的流量):
设置是否应该对Fuzzer生成的消息执行被动扫描。
Max alerts any rule can raise(任何规则都可以触发的最大告警数):
设置被动扫描规则应引发的最大警报数。由于线程的原因,可能会稍微超过这个值。这个设置通常只对自动扫描有用。超过这个值的扫描规则将被禁用,并且在启动新的会话时需要手动启用。
Max body size in bytes to (以字节为单位扫描的最大Body尺寸):
设置被动扫描器将扫描的请求或响应主体的最大大小(以字节为单位)。如果被动扫描规则在扫描非常大的请求或响应时花费的时间太长,就可以使用这种方法。如果设置了忽略的请求和响应的数量,将分别使用keys stats.pscan. reqbodytoobig和stats.pscan. respbodytoobig记录在统计数据中。
学习完今天的设置,是不是知道了如何定制扫描策略了?
