OWASP ZAP Maven Plugin

Effettuato il checkout dei dei sorgenti del progetto GovWay, è possibile avviare manualmente una analisi dinamica, tramite ZAP, utilizzando il seguente comando maven nella radice del progetto:

mvn verify -Dzaproxy=verify -Dzaproxy.home=PATH_ASSOLUTO_TOOLS_ZAP -Dgovway.endpoint=http://127.0.0.1:8080 -Dgovway.ente=<SoggettoIndicatoInstaller> -Dcompile=none -Dtestsuite=none -Dpackage=none -Dowasp=none

Come prerequisito all’esecuzione deve essere effettuato il download dell’ultima release del tool OWASP ZAP Proxy.

Al termine dell’analisi viene prodotto un report nella directory “zaproxy-reports” per ogni componente di GovWay analizzato.

Gli identificativi dei componenti verificati sono i seguenti:

• api-rest-status: vengono verificate le vulnerabilità tipiche per API di tipo REST utilizzando il servizio di health check REST di govway;

• api-soap-status: vengono verificate le vulnerabilità tipiche per API di tipo SOAP utilizzando il servizio di health check SOAP di govway;

• api-config: viene verificata l’API di GovWay per la configurazione;

• api-monitor: viene verificata l’API di GoWay per il monitoraggio.

Per evitare la verifica di alcuni componenti è possibile utilizzare la proprietà “zaproxy.skipTests”.

L’esempio seguente attiva l’analisi solamente del componente runtime di GovWay per API REST e SOAP, escludendo gli altri test:

mvn verify -Dzaproxy=verify
           -Dcompile=none -Dtestsuite=none -Dpackage=none -Dowasp=none
           -Dzaproxy.home=/tmp/ZAP_2.12.0
           -Dgovway.endpoint=http://127.0.0.1:8080 -Dgovway.ente=Ente
           -Dzaproxy.skipTests=api-config,api-monitor