ictu/zap2docker-weekly

【已归档】OWASP ZAP Docker自动身份验证扫描器

🚨 仓库已归档 🚨

2024年4月2日，本仓库被标记为"即将归档"，并于2024年5月13日正式归档，不再维护。

归档原因

本项目初衷是为OWASP ZAP添加身份验证扫描功能（及Blind XSS payloads），但目前ZAP已原生支持这些功能。此外，ZAP正全面迁移至Automation Framework，改变了扫描执行方式。

从zap2docker-weekly迁移至ZAP Automation Framework

如仍在流水线中使用zap2docker-weekly，建议规划迁移。推荐使用最新版ZAP的Automation Framework创建自动化计划，并在手动和CI/CD流水线中测试使用。迁移步骤如下：

1. 熟悉ZAP Automation Framework，起点：ZAP Automation Framework文档，***上也有相关视频教程(psiinon频道)。
2. 下载并熟悉ZAP桌面应用。
3. 使用ZAP桌面应用创建新的自动化计划。
4. 分析当前zap2docker-weekly使用情况，确定需在自动化计划中复现的命令参数和配置。
5. 逐步构建自动化计划以镜像现有工作流，重点关注爬虫、主动扫描、报告生成，以及自定义脚本和误报排除规则（此步骤高度依赖项目具体情况）。
6. 单独测试所有步骤，验证报告符合预期。
7. 保存自动化计划（YAML文件）并加入版本控制。
8. 替换流水线配置中的依赖步骤（如使用"zap-cli -autorun plan.yaml"），必要时转换参数以适配自动化计划。
9. 运行完整流水线并彻底审查结果，确保一切正常。
10. 定期审查自动化计划（如每月或每季度），保持ZAP及插件更新，随应用演进更新计划以确保有效性。

如需帮助，可通过下方"联系我们"方式获取支持，包括ZAP桌面应用的简短演示。

不迁移的后果

短期内可能无明显影响，但需注意：zap2docker-weekly的基础镜像自2024年3月起不再维护，因此生成的报告可能不准确，且可能错过ZAP功能及漏洞扫描方式的更新。原镜像也可能被移除导致流水线中断，因此不建议跳过迁移。

以下为归档前的README内容，仅供参考。

OWASP ZAP Docker自动身份验证

本项目为OWASP ZAP Docker 扫描脚本添加身份验证扫描支持，主要功能包括：

• 自动或手动填充并完成登录表单
• 记录会话令牌（Cookie或Authorization头）并添加至所有爬虫和扫描请求
• 排除可能终止会话的URL（如/logout）
• 包含需使用会话令牌扫描的额外URL（如api.web.com）

Docker镜像

镜像地址：https://hub.docker.com/r/ictu/zap2docker-weekly

限制容器内存使用示例

1. 运行被动扫描，限制容器内存为8GB（解决内存问题时适用）：

bash
docker run --rm --memory=8gb -v $(pwd):/zap/wrk/:rw -t ictu/zap2docker-weekly zap-full-scan.py -I -j -m 10 -T 60 \
  -t https://demo.website.net \
  -r testreport.html

身份验证使用示例

1. 带自动身份验证的被动扫描：

bash
docker run --rm -v $(pwd):/zap/wrk/:rw -t ictu/zap2docker-weekly zap-baseline.py -I -j \
  -t https://demo.website.net \
  -r testreport.html \
  --hook=/zap/auth_hook.py \
  -z "auth.loginurl=https://demo.website.net/login/index.php \
      auth.username="admin" \
      auth.password="sandbox""

2. 使用Bearer令牌的API扫描：

bash
# 先获取令牌（如通过Curl），再传递给ZAP
docker run --rm -v $(pwd):/zap/wrk/:rw -t ictu/zap2docker-weekly zap-api-scan.py -I \
  -t https://demo.website.net/api/docs/openapidocs.json \
  -f openapi \
  -r testreport.html \
  --hook=/zap/auth_hook.py \
  -z "auth.bearer_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"

3. 带手动身份验证和额外URL包含的全扫描（爬虫最多10分钟，扫描最多60分钟）：

bash
docker run --rm -v $(pwd):/zap/wrk/:rw -t ictu/zap2docker-weekly zap-full-scan.py -I -j -m 10 -T 60 \
  -t https://demo.website.net \
  -r testreport.html \
  --hook=/zap/auth_hook.py \
  -z "auth.loginurl=https://demo.website.net/login/index.php \
      auth.username="admin" \
      auth.password="sandbox" \
      auth.username_field="j_username" \
      auth.password_field="j_password" \
      auth.submit_field="submit" \
      auth.exclude=".*logout.*,http://url.com/somepath.*" \
      auth.include="https://api.website.net.*"

说明：排除和包含URL为逗号分隔的正则表达式，例如：.*logout.*,http://url.com/logout.*

参数说明：

• -j：启用AJAX爬虫（补充默认爬虫）
• -m 60：限制爬虫时间为60分钟
• -T 60：限制扫描时间为60分钟
• -I：发现问题时不返回错误退出码

更多扫描类型和参数说明：ZAP Docker文档

额外身份验证参数

Blind XSS Payloads

本钩子支持注入Blind XSS payloads，需提供XSS payload触发的回调URL。钩子会自动在输入字段、头和Cookie等所有可能位置注入payload（感谢@greckko）。

以下示例使用XSSHunter作为回调：

bash
docker run --rm -v $(pwd):/zap/wrk/:rw -t ictu/zap2docker-weekly zap-full-scan.py -I -j -m 10 -T 60 \
  -t https://demo.website.net \
  -r testreport.html \
  --hook=/zap/auth_hook.py \
  -z "xss.collector=xsshunter.xss.ht"

限制

1. 由于身份验证解决方案使用webdriver，需使用https://hub.docker.com/repository/docker/ictu/zap2docker-weekly%E3%80%82
2. 脚本自动设置的Cookie不会添加HttpOnly、Secure和SameSite标志，ZAP API不支持设置这些标志，可能导致报告中出现相关误报。

联系我们

本仓库联系人：https://github.com/orgs/ICTU/teams/security%EF%BC%8C%E5%8F%AF%E9%80%9A%E8%BF%87https://github.com/ICTU/zap2docker-auth-weekly/issues/new%E8%81%94%E7%B3%BB%E3%80%82