Мы уже рассказывали, как пользоваться ZAP на Kali Linux. Как и все сканеры DAST, ZAP умеет создавать отчеты. Далее покажу, как правильно создавать отчеты OWASP ZAP.
Еще по теме: Установка OWASP ZAP на Windows macOS и Docker
Создание отчета OWASP ZAP
Итак, предположим, у вас уже есть результат сканирования. Чтобы создать отчет, откройте раскрывающееся меню Report (Отчет) в строке меню верхнего уровня. На скрине ниже показаны доступные опции.
Рассмотрим каждый пункт меню создания отчетов ZAP:
- Export Messages to File (Экспорт сообщений в файл) — здесь вы сохраняете запросы и ответы в текстовый файл. Сначала выберите сообщения для сохранения, выбрав одно или несколько на вкладке History (История), расположенной в окне Information (Информация).
- Export Response(s) to File (Экспорт ответов в файл) — используйте этот параметр, чтобы сохранить определенный ответ в текстовый файл.
Бинарные ответы (т. е. изображения) можно сохранять в дополнение к тестовым ответам.
- Export All URLs to File (Экспортировать все URL-адреса в файл) — используйте этот параметр, чтобы сохранить все URL-адреса, к которым осуществлялся доступ, в текстовый файл или файл HTML. Это можно использовать для сравнения URL-адресов, с которыми вы сталкивались, для сравнения пользователей с разными ролями (т. е. администратор против аудитора) или сравнить различные разрешения пользователей в одной и той же системе.
- Export Selected URLs to File (Экспортировать выбранные URL-адреса в файл) — используйте этот параметр для экспорта определенных или нескольких URL-адресов и субдоменов из древа сайтов в текстовый файл.
- Export URLs for Context(s) (Экспорт URL-адресов для контекста): в древе сайтов будет экспортирован каждый URL-адрес в выбранном контексте. Вы также можете щелкнуть правой кнопкой мыши на
Узел контекста для экспорта оттуда. Просто обратите внимание, что урлы из древа сайтов должен быть добавлен в контекст перед использованием этой опции. - Compare with Another Session (Сравнить с другим сеансом) — для этого параметра требуется, чтобы вы сохранили предыдущий сеанс ZAP, после чего откроется меню для выбора сохраненного выходного файла из локального каталога. Затем он загружается в текущий сеанс ZAP для сравнения. Файл будет содержать урлы, перечисленные в таблице, которая включает статус HTTP для урлов обоих сеансов. Этот отчет удобен для сравнения двух сеансов, когда разные пользователи обращались к одному и тому же приложению. Это позволяет вам видеть, какие пользователи имеют доступ к какому URL-адресу, и дает возможность понять, с какими URL-адресами или путями пользователь вошел в систему и успешно получил доступ к домену.
- Generate Report (Создать отчет) — это последний пункт, которая открывает диалоговое окно с параметрами для настройки конфигурации отчета. На первый взгляд, вы увидите четыре различные вкладки параметров в диалоговом окне «Создать отчет», как показано на скрине ниже, а именно Scope (Область), Template (Шаблон), Filter (Фильтр) и Options (Параметры).
- В Scope вы даете своему отчету название, называете его, выбираете локальный каталог для сохранения отчета, даете краткое описание того, о чем отчет, и выбираете один или несколько контекстов и сайтов для размещения в отчете. Два флажка Generate If No Alerts (Создать, если нет предупреждений) и Display Report (Показать отчет) позволяют создать отчет без предупреждений, а также открыть его с помощью внешней программы.
-
- Следующая вкладка — Template (Шаблон).
-
- В раскрывающемся меню содержатся все доступные шаблоны. Шаблоны, включенные в отчет, могут быть отформатированы в нескольких различных типах файлов, таких как HTML, MD и PDF.
-
- Theme (Тема) предназначена для применения различных цветов и/или стилей, но только если они определены в выбранном шаблоне.
- Sections (Разделы) предназначены для частей отчета, которые вы хотите включить или исключить. Если выбранный шаблон имеет определенные разделы, то для каждого отображаемого раздела будет установлен флажок. Выбрав любой из разделов, вы исключите их из общего отчета.
По умолчанию будут установлены все флажки.
-
- Filter (Фильтр) позволяет указать, какой уровень важности включать в отчет. Эта опция также позволяет выбрать уровень достоверности (или уровень, который ZAP определяет как максимально возможный) и флажок для фильтрации ложных срабатываний.
-
- Вкладка Options (Параметры) с полями Report Name Pattern (Шаблон имени отчета) и Template Directory (Каталог шаблонов). Шаблон имени отчета предлагает простой способ определить, как задается структура имени отчета. Каталог шаблонов задает путь к локальному каталогу, из которого загружаются ваши шаблоны.
Нет необходимости изменять настройку Template Directory (каталога шаблонов), если только вы не разработали новый отчет. В противном случае папка Reports (Отчеты) в домашнем каталоге ZAP устанавливается по умолчанию.
Параметры и конфигурации в диалоговом окне Generate Report используются для настройки отчета.
На этом все. Теперь вы знаете, как создать отчет в одном из лучших инструментов для поиска уязвимости веб-приложений ZAP. Вот пара интересных проектов для создания отчетов:
ПОЛЕЗНЫЕ ССЫЛКИ:
- Использование OWASP Juice Shop
- Установка OWASP BWA на VirtualBox
- Использование OWASP Amass на Kali Linux