前言:
渗透测试及防护也是web安全中重要的一环,即使不能及时的对网站进行防护,有了扫描报告也可以应对检查并对问题有了解,zap2docker-stable是用于渗透测试的不错工具,能够生产对网站进行渗透测试并生成报告,使用办法如下:
1.拉取镜像:
docker pull docker.io/owasp/zap2docker-stable #源在国外,建议用阿里云对docker拉取加速,大概1.3G
2.当前目录下应该包含文件:
[root@my zap]# ls
config result zap.sh
3.文件内容:
zap.sh文件
#!/bin/bash # 加载配置 . ./config # 函数 function scan { docker run --rm -v $(pwd)/result:/zap/wrk/:rw -t $zap_image zap-baseline.py -m 10 -a -t $test_url -w $report_name } function start { echo "### ZAP Scan start at $(date +'%Y-%m-%d %T') ###" for i in $scan_options do report_name=${i}-$(date +%Y%m%d%H%M).md test_url=$(eval echo '$'"${i}_url") echo "--- Scan $i url ---" #echo $report_name $test_url scan done echo "### ZAP Scan end at $(date +'%Y-%m-%d %T') ###" echo } # 启动 start |tee scan.log
result为文件夹,需要赋予777权限
config文件内容:
zap_image=owasp/zap2docker-stable scan_options="baidu" baidu_url=http://www.baidu.com/
4.使用时直接赋予zap.sh就可以在当前目录result/文件夹下生成扫描报告。