#selenium #owasp #zap
Вопрос:
У нас есть набор автоматизированных регрессионных тестов, выполняемых с использованием Selenium для приложения Angular с серверной частью веб-API .NET Core.
Намерение состоит в том, чтобы включить некоторые автоматизированные тесты безопасности в рамках нашей ночной сборки/тестового запуска.
Из прочитанного до сих пор кажется, что запуск ZAP в качестве перехватывающего прокси-сервера между Selenium и нашим веб-приложением-это правильный путь (см. «Регрессия прокси/Модульные тесты» в https://www.zaproxy.org/docs/api/#exploring-the-app) но я изо всех сил пытаюсь найти четкую документацию/примеры.
Каков самый простой способ достичь этого с помощью OWASP ZAP, и есть ли какие-либо окончательные статьи/примеры?
Ответ №1:
Начните с полного сканирования пакета: https://www.zaproxy.org/docs/docker/full-scan/
Установите порт, а затем выполните прокси-тесты selenium через ZAP. Используйте этот -D параметр, чтобы приостановить ZAP до завершения тестов. Дополнительные параметры автоматизации ZAP см. в разделе https://www.zaproxy.org/docs/automate/
Комментарии:
1. Поэтому снимите последний образ docker, запустите zap-full-scan.py сценарий с аргументами-P и-D для настройки порта и времени, ожидаемого для тестов E2E, затем запустите тесты Selenium с настроенным прокси-сервером?
2. По сути, да, но вам нужно будет немного повозиться с сетью docker, чтобы иметь возможность передавать свои тесты через ZAP.
3. К сожалению, наш бамбуковый сервер работает под управлением Windows Server 2012, который не поддерживает Docker. В отсутствие докера можно было бы использовать API через . Пакет NET Nuget — это разумный путь?
4. В этом случае вам нужно будет установить ZAP, запустить его в режиме демона, а затем управлять им через API. К вашему сведению, мы работаем над платформой автоматизации, которая должна значительно упростить работу в подобных случаях, но она еще не совсем готова…
5. Спасибо — действительно ценю всю замечательную работу над ZAP.