概览

这个技能支持AI驱动的安全测试，包括：

配置和执行ZAP蜘蛛和主动扫描
分析ZAP警报和漏洞发现
执行CI/CD的基线安全扫描
使用OpenAPI/Swagger导入进行API安全扫描
处理认证扫描的认证处理
生成多种格式的安全报告
配置扫描策略和规则集
解释OWASP Top 10发现

前提条件

安装OWASP ZAP（桌面或Docker）
启用ZAP API（用于自动化）
目标应用程序可以从ZAP访问
可选：ZAP API密钥用于安全访问

能力

1. ZAP安装和配置

为安全测试设置ZAP：

# 基于Docker的ZAP（CI/CD推荐）
docker pull zaproxy/zap-stable

# 以守护进程模式运行ZAP
docker run -d --name zap -p 8080:8080 zaproxy/zap-stable zap.sh -daemon -host 0.0.0.0 -port 8080 -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true

# 验证ZAP是否运行
curl http://localhost:8080/JSON/core/view/version/

2. 蜘蛛扫描

爬取Web应用程序以发现攻击面：

# 开始蜘蛛扫描
curl "http://localhost:8080/JSON/spider/action/scan/?url=https://target.example.com&recurse=true"

# 检查蜘蛛状态
curl "http://localhost:8080/JSON/spider/view/status/"

# 获取蜘蛛结果
curl "http://localhost:8080/JSON/spider/view/results/"

3. 主动扫描

执行全面的漏洞扫描：

# 开始主动扫描
curl "http://localhost:8080/JSON/ascan/action/scan/?url=https://target.example.com&recurse=true&inScopeOnly=true"

# 检查扫描进度
curl "http://localhost:8080/JSON/ascan/view/status/"

# 获取警报
curl "http://localhost:8080/JSON/core/view/alerts/?baseurl=https://target.example.com"

4. API安全扫描

使用OpenAPI/Swagger规范测试API：

# 导入OpenAPI规范
curl "http://localhost:8080/JSON/openapi/action/importUrl/?url=https://api.example.com/openapi.json"

# 或从文件导入
curl "http://localhost:8080/JSON/openapi/action/importFile/?file=/path/to/openapi.json"

# 扫描API端点
curl "http://localhost:8080/JSON/ascan/action/scan/?url=https://api.example.com"

5. 基线扫描（CI/CD）

为管道集成进行快速基线扫描：

# Docker基线扫描
docker run -t zaproxy/zap-stable zap-baseline.py \
  -t https://target.example.com \
  -g gen.conf \
  -r report.html

# API基线扫描
docker run -t zaproxy/zap-stable zap-api-scan.py \
  -t https://api.example.com/openapi.json \
  -f openapi \
  -r api-report.html

6. 认证配置

处理认证扫描：

# 基于表单的认证
curl "http://localhost:8080/JSON/authentication/action/setAuthenticationMethod/?contextId=1&authMethodName=formBasedAuthentication&authMethodConfigParams=loginUrl=https://target.example.com/login&loginRequestData=username={%username%}%26password={%password%}"

# 设置凭据
curl "http://localhost:8080/JSON/users/action/setAuthenticationCredentials/?contextId=1&userId=1&authCredentialsConfigParams=username=testuser&password=testpass"

7. 报告生成

生成安全报告：

# HTML报告
curl "http://localhost:8080/OTHER/core/other/htmlreport/" > security-report.html

# JSON报告
curl "http://localhost:8080/JSON/core/view/alerts/" > alerts.json

# XML报告
curl "http://localhost:8080/OTHER/core/other/xmlreport/" > security-report.xml

警报严重性级别

级别	风险	描述
3	高	需要立即采取行动的关键漏洞
2	中	在生产前需要解决的重大问题
1	低	影响有限的小问题
0	信息	最佳实践建议

OWASP Top 10覆盖范围

OWASP类别	ZAP检测
A01:2021 - 访问控制失效	主动扫描，认证测试
A02:2021 - 加密失败	SSL/TLS检查，Cookie标志
A03:2021 - 注入	SQL，XSS，命令注入测试
A04:2021 - 不安全的设计	业务逻辑测试
A05:2021 - 安全配置错误	头部分析，错误处理
A06:2021 - 组件脆弱	技术指纹识别
A07:2021 - 识别失败	会话管理，认证绕过
A08:2021 - 软件/数据完整性	CSP，SRI检查
A09:2021 - 日志记录失败	信息泄露
A10:2021 - SSRF	服务器端请求测试

MCP服务器集成

这个技能可以利用以下MCP服务器增强能力：

服务器	描述	安装
dtkmn/mcp-zap-server	Spring Boot OWASP ZAP MCP	GitHub
ajtazer/ZAP-MCP	Python-based ZAP MCP	GitHub
ZAP-MCP (mcp.so)	模型上下文协议ZAP	mcp.so

最佳实践

范围定义 - 总是定义扫描范围以避免扫描不打算的目标
认证 - 配置认证以获得全面覆盖
扫描策略 - 使用适当的策略（轻量级，中等，重量级）
基线优先 - 在CI/CD中运行基线扫描，定期进行完整扫描
警报分类 - 首先关注高/中警报
误报 - 标记并记录误报
增量测试 - 首先扫描新/更改的功能

流程集成

这个技能与以下流程集成：

security-testing.js - 安全测试的所有阶段
api-testing.js - API安全验证
quality-gates.js - 安全门控执行
continuous-testing.js - CI/CD安全集成

输出格式

执行操作时，提供结构化输出：

{
  "operation": "active-scan",
  "target": "https://target.example.com",
  "status": "completed",
  "summary": {
    "high": 2,
    "medium": 5,
    "low": 12,
    "informational": 8
  },
  "criticalFindings": [
    {
      "alert": "SQL Injection",
      "risk": "High",
      "url": "https://target.example.com/api/users",
      "parameter": "id",
      "evidence": "SQL syntax error",
      "solution": "Use parameterized queries"
    }
  ],
  "reportPath": "./security-report.html"
}

错误处理

在操作前验证ZAP是否运行
检查API连接和认证
处理长时间运行扫描的超时
提供不可用功能的回退
记录所有安全关键操作

约束

未经明确批准，切勿扫描生产环境
遵守速率限制和扫描策略
不要存储敏感认证数据
遵循负责任的披露实践
适当记录所有安全发现