dast-zap
Analyser des applications web pour détecter les vulnérabilités avec OWASP ZAP
Les applications web et les API contiennent souvent des vulnérabilités de sécurité que les tests manuels ne détectent pas. Cette compétence automatise les analyses de sécurité complètes avec OWASP ZAP, identifiant des problèmes tels que XSS, l'injection SQL et les failles d'authentification. Générez des rapports détaillés alignés sur OWASP Top 10 et CWE pour la conformité.
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「dast-zap」。 Scan https://staging.example.com with baseline scan
預期結果:
- Analyse de base terminée
- Résultats à haut risque: 0
- Résultats à risque moyen: 3
- Résultats à faible risque: 7
- Rapport enregistré dans: baseline-report.html
- Problèmes clés trouvés: En-tête X-Frame-Options manquant, Cookie sans indicateur Secure, Divulgation d'informations serveur
正在使用「dast-zap」。 Scan API with OpenAPI spec and bearer token
預期結果:
- Analyse API terminée
- Points de terminaison testés: 45
- Résultats à haut risque: 1 (Injection SQL dans /users/{id})
- Résultats à risque moyen: 5
- Rapport SARIF téléchargé sur l'onglet Sécurité GitHub
- Mappages CWE: CWE-89 (SQLi), CWE-79 (XSS)
安全審計
低風險Legitimate DAST security testing skill using official OWASP ZAP tooling. Contains documentation, configuration templates, and CI/CD workflows for vulnerability scanning. All 465 static findings are false positives - the patterns detected are expected behaviors for security testing documentation (shell commands for running scanners, URLs in documentation, and security terminology explaining vulnerabilities). No malicious intent detected.
風險因素
品質評分
你能建構什麼
Portes de sécurité CI/CD
Ajoutez des analyses de sécurité automatisées aux pipelines de déploiement avec GitHub Actions ou GitLab CI
Test des vulnérabilités des API
Scannez les API REST et GraphQL à l'aide des spécifications OpenAPI pour trouver les failles d'injection et les problèmes d'autorisation
Vérifications de sécurité rapides
Exécutez des analyses de base pendant le développement pour détecter les problèmes de sécurité tôt, avant qu'ils n'atteignent la production
試試這些提示
Run an OWASP ZAP baseline scan against https://staging.example.com and generate a report at ./zap-report.html
Scan our API at https://api.example.com using the OpenAPI specification at ./openapi.yaml. Include authentication using the bearer token from environment variable API_TOKEN and generate JSON and HTML reports.
Run an authenticated scan against https://app.example.com using form-based authentication. The login page is at https://app.example.com/login, username is testuser, and password is in environment variable SCAN_PASSWORD.
Create a GitHub Actions workflow file for OWASP ZAP scanning that runs on pull requests, fails if high-risk findings are detected, and uploads SARIF results to the GitHub Security tab
最佳實務
- Obtenez toujours une autorisation écrite avant de scanner un système qui ne vous appartient pas
- Utilisez des analyses de base pour chaque validation et des analyses actives complètes uniquement sur les environnements de mise en scène
- Ne codez jamais en dur les identifiants; utilisez des variables d'environnement ou la gestion des secrets
- Vérifiez manuellement les résultats des analyses actives avant de créer des tickets de sécurité
避免
- Exécuter des analyses actives contre des systèmes de production sans approbation
- Inclure de véritables identifiants dans les configurations ou scripts d'analyse
- Ignorer les taux de faux positifs sans investigation
- Utiliser les résultats d'analyse comme seule mesure de la sécurité de l'application