Owasp、Zap和Amazon

Question

我没有太多的渗透测试经验，但我目前正在考虑OWASP Zap。

我将要使用的网站是在亚马逊EC2实例上运行的。亚马逊在安全测试方面似乎有一定的要求：https://aws.amazon.com/security/penetration-testing/

上面的网站说，你可以在亚马逊EC2实例上运行安全测试，但不能对某些实例运行安全测试，例如DNS区域遍历、DoS等，这是足够公平的。

问题是，当我点击“攻击”按钮时，我不能确切地看到OWASP Zap会做什么，而且我显然不想让AWS感到不安！

还有人在EC2实例上使用过OWASP Zap吗？你必须将它配置为不进行DoS攻击等吗？有没有办法让我知道Zap在做什么(我在文档中看不到任何东西，但可能遗漏了一些东西)？

Answer 1

是的，我已经做到了。ZAP不会故意尝试DoS攻击(或任何其他旨在造成破坏的攻击)，但它仍然可以“干掉”不安全或配置错误的应用程序。如果你得到了网站所有者的许可，那么他们希望他们不会向亚马逊抱怨，然后你就会好起来。

有关ZAP使用的扫描规则的详细信息，请参阅https://www.zaproxy.org/docs/alerts/ -这些页面链接到相关源代码，以便为您提供足够的详细信息;)