问题描述
我没有太多渗透测试经验,但我目前正在研究 Owasp Zap。
我要进行渗透测试的网站在 Amazon EC2 实例上运行。亚马逊在安全测试方面似乎有一定的要求: https://aws.amazon.com/security/penetration-testing/
上面的网站说你可以在 Amazon EC2 实例上运行安全测试,但不能运行某些特定的测试,例如 DNS 区域行走、DoS 等,这很公平。
问题是当我点击“攻击”按钮时,我无法确切地看到 Owasp Zap 会做什么,而且我显然不想让 AWS 感到不安!
有没有其他人在 EC2 实例上使用过 Owasp Zap?您是否必须将其配置为不进行 DoS 攻击等?有什么方法可以找出 Zap 正在做什么(我在文档中看不到任何内容,但可能遗漏了一些内容)?
解决方法
是的,我已经做到了。 ZAP 不会故意尝试 DoS 攻击(或任何其他旨在造成损害的攻击),但它仍然可以“删除”不安全或配置不当的应用程序。 如果您获得网站所有者的许可,那么他们希望他们不会向亚马逊投诉,然后您就可以了。
有关 ZAP 使用的扫描规则的详细信息,请参阅 https://www.zaproxy.org/docs/alerts/ - 这些页面链接到相关的源代码,以便为您提供足够的详细信息;)