Добавьте целевое приложение в контекст, используя контекстное меню: "Включить в контекст".
Это позволяет вам больше рассказать ZAP о цели, например, об аутентификации, пользователях и используемых технологиях.
Нажмите на значок шестеренки в правой части многих вкладок, чтобы быстро получить доступ к настройке этой функции.
Использует ли ваше приложение токены защиты от CSRF?
Убедитесь, что вы настроили ZAP для их обработки через экран «Параметры / Активное сканирование».
Если вы получаете слишком много ложных срабатываний, попробуйте изменить пороговое значение для этого правила сканирования на Высокий.
Но также сообщите нам о проблеме через группу пользователей ZAP или вопросы, чтобы мы могли ее исследовать — оба из них связаны с меню «Онлайн».
Установите надстройку Retire из ZAP Marketplace, чтобы обнаруживать небезопасные версии библиотек JavaScript с помощью базы данных Retire.js.
Установите надстройку SAML из ZAP Marketplace, чтобы обнаруживать, отображать, редактировать и анализировать запросы SAML.
Установите надстройку accessControl из ZAP Marketplace, чтобы автоматизировать тестирование контроля доступа вашего приложения.
Установите бета-версию активных и пассивных правил сканирования, чтобы найти больше потенциальных проблем.
Существуют также альфа-активные и пассивные правила сканирования, но, очевидно, они могут быть менее стабильными.
Установите надстройку последовательности из ZAP Marketplace, чтобы сканировать страницы, которые необходимо посещать в определенном порядке, чтобы была доступна полная функциональность.
Индикатор ручного просмотра — страницы, найденные поисковыми роботами и принудительным браузером, помечаются в дереве Сайтов соответствующим значком. Этот значок исчезает, когда вы посещаете эту страницу вручную.
Новичок в ZAP?
Загрузите руководство «Начало работы с ZAP» с ZAP Marketplace.
Запросы POST имеют контекстное меню для создания тестовой формы защиты от CSRF.
Щелкните правой кнопкой мыши везде.
Выделите текст и щелкните его правой кнопкой мыши.
Многие функции ZAP являются контекстно-зависимыми, поэтому доступ к ним лучше всего осуществляется таким образом.
Сохраните сеанс ZAP в начале теста, а не в конце — сеанс хранится в базе данных, которая будет постоянно обновляться, поэтому вам не придется сохранять его снова.
Кнопка «Показать / включить» поля «лампочка» на главной панели инструментов сделает скрытые поля видимыми и позволит вам редактировать отключенные поля.
Вкладка «Поиск» позволяет найти строку в результатах Fuzz — она поддерживает регулярные выражения и обратное сопоставление.
Большинство вкладок ZAP теперь по умолчанию скрыты, чтобы пользовательский интерфейс был менее загроможденным.
Вы можете отображать и скрывать все вкладки с помощью кнопок на главной панели инструментов.
Вы также можете «закрепить» любую понравившуюся вкладку, чтобы она оставалась видимой даже после перезагрузки.
На ZAP Marketplace доступно большое количество файлов фаззинга в надстройках «Список каталогов *», «Файлы Fuzzdb» и «Файлы SVN Digger».
Есть много ресурсов, связанных с меню «Онлайн», включая домашнюю страницу ZAP, группы пользователей и разработчиков.
Существует репозиторий ZAP-скриптов по адресу https://github.com/zaproxy/community-scripts
.
Если вы клонируете локальную копию, вы можете добавить их все в ZAP через панель параметров сценариев.
Вы также можете загружать свои собственные скрипты с помощью запросов на вытягивание — чем больше, тем лучше!
Попробуйте разные макеты пользовательского интерфейса с помощью кнопок на главной панели инструментов.
Используйте сочетания клавиш, чтобы ускорить тестирование — вы можете определить свои собственные комбинации через «Параметры / Клавиатура», которые также создают шпаргалки для печати.
Хотите поговорить с кем-нибудь о ZAP?
Многие разработчики ядра ZAP общаются на irc-канале Libera Chat #zaproxy: https://web.libera.chat/#zaproxy.
Хотите написать сценарий ZAP на языке сценариев, отличном от Java Script и Zest?
Проверьте на ZAP Marketplace другие языки, такие как python и ruby.
Если предпочитаемый вами язык сценариев еще не доступен, свяжитесь с нами — добавить поддержку других языков достаточно просто.
Вы можете изменить подсветку синтаксиса, используемую для вкладок «Запрос», «Ответ» и «Сценарий консоли», через контекстное меню «Синтаксис».
Вы можете сравнить 2 запроса или ответа, выбрав их оба, «щелкнув правой кнопкой мыши» и выбрав один из пунктов меню «Сравнить 2..».
Вы можете экспортировать все URL-адреса, записанные ZAP, используя меню верхнего уровня: «Отчет / Экспорт всех URL-адресов в файл ...».
Вы можете импортировать URL-адреса, содержащиеся в текстовом файле, с помощью надстройки importurls, доступной на ZAP Marketplace.
Вы можете вызывать сторонние инструменты, такие как sqlmap и nmap, из ZAP, передавая широкий спектр контекстной информации.
Просто настройте приложения, которые вы хотите вызывать, на экране «Параметры / Приложения».
Вы можете изменить порядок столбцов таблицы, перетащив их.
Вы также можете выбрать отображаемые столбцы с помощью значка над полосой прокрутки в правой части каждой таблицы.
Вы можете искать текст в любой текстовой области, включая вкладки «Запрос» и «Ответ», используя контекстное меню «Найти...».
Вы можете настроить ZAP на доступ к приложению от имени указанного пользователя.
Для этого вам нужно добавить свое приложение в контекст, а затем определить аутентификацию и данные пользователя.
Вы можете указать ZAP загрузить все сценарии в наборе каталогов на странице параметров сценариев.
Подробную информацию о структуре каталогов см. в справке.
ZAP может автоматически проверять наличие обновлений — включите его на экране «Параметры / Проверить наличие обновлений».
Если вы не хотите, чтобы это происходило автоматически, убедитесь, что вы вручную часто проверяете наличие обновлений с помощью кнопки «Управление надстройками» на главной панели инструментов, поскольку мы постоянно добавляем новые функции и устраняем проблемы.
ZAP может отображать, перехватывать и даже обрабатывать сообщения на стороне клиента, включая почтовые сообщения. «Щелкните правой кнопкой мыши» поддерево в дереве «Сайты» и выберите подходящее подменю в разделе «Мониторинг клиентов».
Принудительно обновите браузер, и ваши открытые страницы будут отображаться на вкладке «Клиенты» вместе со всеми сообщениями на стороне клиента, которые они генерируют.
ZAP has comprehensive help pages accessible via the 'Help / ZAP User Guide' menu.
The F1 key will also bring up the help pages and take you straight to the relevant section for the selected tab.
Скрипты Zest — отличный способ автоматизировать задачи.
Zest — это графический макроязык ZAP, но он предоставляет такие функции программирования, как условные операторы и циклы.
Используйте кнопку «Записать новый сценарий Zest...» на главной панели инструментов, чтобы быстро записать новый сценарий Zest.
Вы также можете «щелкнуть правой кнопкой мыши» запросы, чтобы добавить их в сценарии Zest.