Owasp Zap 和亚马逊

【问题标题】:Owasp Zap and AmazonOwasp Zap 和亚马逊
【发布时间】:2021-08-26 21:48:42
【问题描述】:

我没有太多的渗透测试经验,但我目前正在研究 OWASP Zap。

我要进行渗透测试的网站在 Amazon EC2 实例上运行。亚马逊在安全测试方面似乎有一定的要求: https://aws.amazon.com/security/penetration-testing/

上面的网站说您可以在 Amazon EC2 实例上运行安全测试,但不能在某些方面运行,例如 DNS 区域遍历、DoS 等,这很公平。

问题是,当我单击“攻击”按钮时,我无法确切看到 OWASP Zap 会做什么,而且我显然不想让 AWS 感到不安!

还有其他人在 EC2 实例上使用过 OWASP Zap 吗?您是否必须将其配置为不进行 DoS 攻击等?有什么方法可以找出 Zap 在做什么(我在文档中看不到任何内容,但可能遗漏了一些内容)?

【问题讨论】:

    标签: amazon-web-services amazon-ec2 owasp penetration-testing penetration-tools


    【解决方案1】:

    是的,我已经做到了。 ZAP 不会故意尝试 DoS 攻击(或任何其他旨在造成损害的攻击),但它仍然可以“淘汰”不安全或配置错误的应用程序。 如果你得到了网站所有者的许可,那么他们希望他们不会向亚马逊投诉,然后你就没事了。

    有关 ZAP 使用的扫描规则的详细信息,请参阅 https://www.zaproxy.org/docs/alerts/ - 这些页面链接到相关源代码,以便为您提供足够的详细信息;)

    【讨论】:

      猜你喜欢
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式