Prosty test penetracyjny wykonywany jest w następujących krokach:
Odkrywanie
Użyj przeglądarki w celu prześledzenia wszystkich funkcjonalności, które udostępnia aplikacja.
Podążaj za wszystkimi odnośnikami, klikaj we wszystkie guziki oraz wypełniaj i wysyłaj wszystkie formularze.
Jeśli aplikacja udostępnia wiele ról (np. administrator, moderator, użytkownik) to wykonaj to dla każdej z ról.
Dla każdej z ról zapisz sesję ZAP w innym pliku i uruchom nową sesję przed każdym testowaniem nowej roli.
Pająk
Użyj "pająka" to find URLs that you have either missed
or that are hidden. You can also use the AJAX Spider add-on
to improve the results and crawl the dynamic-built links.
Prześledź wszystkie linki, które znalazłeś.
Wymuszone przeglądanie
Use the forced browse scanner to find unreferenced files and directories (requires "Forced Browse" add-on).
Powyższe kroki znajdą podstawowe podatności.
Jednakże w celu znalezienia większej ilości podatności będziesz musiał ręcznie wykonać testy aplikacji.
Zobacz przewodnik po testowaniu OWASP po więcej szczegółów.
Przyszłe wersje dokumentacji użytkownika ZAP będą opisywały jak ZAP może być użyteczny w tym procesie.