Integración de ZAP a SDLC. ¿Lo estoy haciendo bien?

Navega tus respuestas
3

Estamos tratando de integrar los escaneos OWASP ZAP a nuestro ciclo de construcción. Cuando una nueva versión llega al equipo de control de calidad, ejecutan una herramienta de automatización similar a Selenium, que abre un navegador web Firefox en una máquina con Windows y ejecuta sus casos de prueba. Al ser completamente nuevo en ZAP, esto es lo que he configurado ahora para obtener los resultados del análisis de esas pruebas con regularidad.

  1. Instaló la herramienta ZAP en una máquina Linux y se está ejecutando en modo de demonio con una clave api en el puerto 8080

  2. Se realizaron cambios en la configuración de Firefox en la máquina de prueba de automatización para que cada nuevo perfil de Firefox abierto por Selenium tendrá el proxy apuntado a < IP_of_ZAP_Machine: 8080 & gt ;.

  3. Un cronjob se ejecutará cada medianoche que haga lo siguiente en este orden:

    • Recopila las URL analizadas llamando a la URL http://IP_of_ZAP_Machine:8080/XML/core/view/sites/?zapapiformat=XML

    • Genera una lista de URL que muestra alertas para cada 'sitio' obtenido del paso anterior.

      Ejemplo: http://IP_of_ZAP_Machine:8080/HTML/core/view/alerts/?zapapiformat=HTML&baseurl=https%3A%2F%2Fwww.example.com&start=&count= para los resultados del escaneo en enlace

    • Descarga los resultados del análisis en formato HTML llamando a todas las URL del paso anterior y colocando todos los HTML en un archivo ZIP .

    • Envía el archivo ZIP a mi equipo por correo electrónico.

    • Carga una nueva sesión para que los resultados que se envíen por correo electrónico la próxima medianoche contengan resultados solo de la medianoche anterior. La nueva sesión se carga usando la URL http://IP_of_ZAP_Machine:8080/JSON/core/action/newSession/?zapapiformat=JSON&apikey=<my_api_key>&name=${newsessionname}&overwrite=

Mientras obtengo los resultados del escaneo como se espera todos los días, las preguntas son: ¿Lo estoy haciendo bien? ¿Hay una manera más correcta o establecida de hacer esto?

Nota: los resultados de todos los pasos se registran en un archivo de registro para futuras verificaciones.

    
pregunta Sree 10.04.2017 - 13:28
fuente

2 respuestas

3

¿Está funcionando para ti? Si es así, sí, es probable que lo estés haciendo bien;) ZAP es una herramienta muy flexible y muchas personas lo usan de diferentes maneras. Una pregunta: ¿está reiniciando la instancia ZAP, por ejemplo, para cada análisis o después de un período de tiempo? Si no es así, puede que tenga problemas, ya que ZAP no está realmente diseñado para ejecutarse como un proceso de larga ejecución. Estamos trabajando para cambiar eso, pero aún no hemos llegado.

    
respondido por el Simon Bennetts 10.04.2017 - 13:44
fuente
1

También hay un ZAP plugin para Jenkins que funciona bien para el tipo de prueba automática tratando de hacer.

    
respondido por el Aidan Grimshaw 07.09.2017 - 23:18
fuente

Lea otras preguntas en las etiquetas

Una computadora en nuestra red fue pirateada y robó cientos de cuentas en diferentes sitios web. ¿Cuáles son los pasos correctos a seguir? ¿Todos los certificados caducados (o la mayoría de ellos) emitidos por terceros certificados también están marcados como revocados?