自動化フレームワーク - activeScan ジョブ

このジョブは、アクティブスキャナーを実行します。これはアプリケーションを積極的に攻撃するため、テストの許可を得ているアプリケーションに対してのみ使用すべきです。

この内容は、動画「ZAP Chat 12 Automation Framework Part 6 - Delays and Active Scan」で解説されています。

デフォルトでは、このジョブは環境で定義された最初のコンテキストをアクティブスキャンするため、パラメーターは必須ではありません。

このジョブはモニターテストをサポートしています。

YAML

  - type: activeScan                   # アクティブスキャナー - ターゲットを積極的に攻撃するため、許可を得てから使用してください
    parameters:
      context:                         # 文字列: 攻撃するコンテキストの名前、デフォルト: 最初のコンテキスト
      user:                            # 文字列: 認証に使用するオプションのユーザー。envで定義されている必要があります
      url:                             # 文字列: アクティブスキャンするサブツリー、デフォルト: コンテキストのすべてのURL
      policy:                          # 文字列: 使用するスキャンポリシーの名前、デフォルト: Default Policy
      maxRuleDurationInMins:           # Int: 個々のルールが実行を許可される最大時間 (分)、デフォルト: 0 (無制限)
      maxScanDurationInMins:           # Int: アクティブスキャナーが実行を許可される最大時間 (分)、デフォルト: 0 (無制限)
      addQueryParam:                   # Bool: 設定されている場合、クエリパラメータを持たないリクエストに余分なクエリパラメータを追加します、デフォルト: false
      defaultPolicy:                   # 文字列: 使用するデフォルトスキャンポリシーの名前、デフォルト: Default Policy
      delayInMs:                       # Int: 各リクエスト間の遅延時間 (ミリ秒)。ターゲットへの負荷を軽減するために使用します、デフォルト 0
      handleAntiCSRFTokens:            # Bool: 設定されている場合、Anti-CSRFトークンを自動的に処理します、デフォルト: true
      injectPluginIdInHeader:          # Bool: 設定されている場合、関連するルールIDが各リクエストの X-ZAP-Scan-ID ヘッダーに挿入されます、デフォルト: false
      scanHeadersAllRequests:          # Bool: 設定されている場合、パラメータを含まないリクエストのヘッダーがスキャンされます、デフォルト: false
      threadPerHost:                   # Int: ホストごとの最大スレッド数、デフォルト: 2 * 利用可能なプロセッサーコア数
      maxAlertsPerRule:                # Int: ルールごとに発生させるアラートの最大数、デフォルト: 0 (無制限)
    policyDefinition:                  # ポリシー定義 - 'policy' が設定されていない場合にのみ使用されます
      defaultStrength:                 # 文字列: すべてのルールのデフォルトの攻撃強度、Low、Medium、High、Insane (非推奨) のいずれか、デフォルト: Medium
      defaultThreshold:                # 文字列: すべてのルールのデフォルトのアラートしきい値、Off、Low、Medium、Highのいずれか、デフォルト: Medium
      alertTags:                       # アラートタグに基づいてルールを追加します。 'rules' の下に明示的にリストされているルールを上書きまたは削除しません
        include: []                    # 含めるアラートタグのリスト、正規表現をサポート
        exclude: []                    # この include リストから除外するアラートタグのリスト、正規表現をサポート
        strength:                      # 文字列: このルールのセットの攻撃強度、Low、Medium、High、Insaneのいずれか、デフォルト: Medium
        threshold:                     # 文字列: このルールのセットのアラートしきい値、Off、Low、Medium、Highのいずれか、デフォルト: Medium
      rules:                           # 1つ以上のアクティブスキャンルールのリストと、デフォルトを上書きする関連設定
      - id:                            # Int: https://www.zaproxy.org/docs/alerts/ に準拠したルールID
        name:                          # 文字列: ドキュメント目的のルールの名前 - これは必須ではなく、実際には使用されません
        strength:                      # 文字列: このルールの攻撃強度、Low、Medium、High、Insaneのいずれか、デフォルト: Medium
        threshold:                     # 文字列: このルールののアラートしきい値、Off、Low、Medium、Highのいずれか、デフォルト: Medium
    enabled:                           # Bool: falseに設定されている場合、ジョブは実行されません、デフォルト: true
    alwaysRun:                         # Bool: 設定され、ジョブが有効な場合、プランが早期に終了しても実行されます、デフォルト: false

注: policyDefinition の defaultThreshold が OFF でない限り、すべてのルールが最初に有効になります。

ポリシーは、以前の activeScan-policy ジョブで定義されたもの、またはZAPのHOMEディレクトリの下の policies ディレクトリに配置されたスキャンポリシーファイルのいずれかです。 ZAPがポリシー定義をどのように処理するかの詳細については、activeScan-policy ジョブのドキュメントを参照してください。

ジョブデータ

以下のクラスは、レポートアドオンなど、ジョブデータへのアクセスを提供するアドオンで利用可能になります。この場合、データは、自動化フレームワーク、UI、またはAPIによって開始されたかどうかにかかわらず、最後のアクティブスキャンからのものであることに注意してください。

キー: activeScanData
クラス: ActiveScanJobResultData