Podstawowy test penetracyjny

Prosty test penetracyjny wykonywany jest w następujących krokach:

Odkrywanie

Użyj przeglądarki w celu prześledzenia wszystkich funkcjonalności, które udostępnia aplikacja.
Podążaj za wszystkimi odnośnikami, klikaj we wszystkie guziki oraz wypełniaj i wysyłaj wszystkie formularze.
Jeśli aplikacja udostępnia wiele ról (np. administrator, moderator, użytkownik) to wykonaj to dla każdej z ról.
Dla każdej z ról zapisz sesję ZAP w innym pliku i uruchom nową sesję przed każdym testowaniem nowej roli.

Pająk

Użyj "pająka" to find URLs that you have either missed or that are hidden. You can also use the AJAX Spider add-on to improve the results and crawl the dynamic-built links.
Prześledź wszystkie linki, które znalazłeś.

Wymuszone przeglądanie

Use the forced browse scanner to find unreferenced files and directories (requires "Forced Browse" add-on).

Aktywne Skanowanie

Użyj aktywnego skanera żeby znaleźć podstawowe podatności.

Ręczne testy

Powyższe kroki znajdą podstawowe podatności.
Jednakże w celu znalezienia większej ilości podatności będziesz musiał ręcznie wykonać testy aplikacji.
Zobacz przewodnik po testowaniu OWASP po więcej szczegółów.
Przyszłe wersje dokumentacji użytkownika ZAP będą opisywały jak ZAP może być użyteczny w tym procesie.

Zobacz również

     Rozpocznijopis jak zacząć korzystać z ZAP
     Wprowadzeniewprowadzenie do korzystania z ZAP

Zewnętrzne linki

     http://www.owasp.org/index.php/Category:OWASP_Testing_Project przewodnik po testowaniu OWASP