ZAP Security Automatisering¶
← Terug naar hoofddocument | Bijlage bij Deelvraag 3
Dit is een bijlage bij Deelvraag 3 - ZAP Security Test
Inhoud: Setup instructies en gebruik van OWASP ZAP voor security testing.
Geautomatiseerde security scanning met OWASP ZAP met behulp van Docker.
Snelle Start¶
1. Pull ZAP Image (alleen eerste keer)¶
2. Start je Applicatie¶
Belangrijk: Gebruik dev:zap (niet dev) zodat Docker toegang heeft tot je applicatie.
3. Voer Security Scan Uit¶
4. Bekijk Resultaten¶
Open zap-report.html in je browser.
Hoe het Werkt¶
- ZAP Container start en laadt
zap.yamlconfiguratie - Spider crawlt je applicatie (1 minuut)
- Passive Scan analyseert op security issues
- Rapporten worden gegenereerd:
zap-report.htmlenzap-report.json
Configuratie¶
Bewerk zap.yaml om te wijzigen:
- Target URL: Update
urlsenurlin spider job - Scan Duur: Wijzig
maxDuration(momenteel 1 minuut) - Poort: Als je app op een andere poort draait, update de URLs
Voorbeeld:
Probleemoplossing¶
"Connection refused"¶
- Draait je applicatie?
- Heb je
dev:zapgebruikt?
- Check de poort - Zorg dat
zap.yamlovereenkomt met de poort van je app
Rapporten niet gevonden¶
Rapporten worden opgeslagen in de project root:
zap-report.htmlzap-report.json
Docker problemen¶
Beschikbare Commando's¶
| Commando | Beschrijving |
|---|---|
npm run dev:zap |
Start app voor ZAP scanning |
npm run security:zap |
Voer security scan uit |
npm run security:zap:pull |
Update ZAP Docker image |
npm run security:zap:baseline |
Snelle baseline scan (alternatief) |
Resultaten Begrijpen¶
Severity Levels:
- Critical/High - Fix voor deployment
- Medium - Fix op basis van risico
- Low/Informational - Optioneel
Veelvoorkomende Issues:
- Ontbrekende security headers → Voeg toe in Nuxt config
- XSS kwetsbaarheden → Sanitize user input
- CSRF bescherming → Implementeer CSRF tokens
Bestanden¶
zap.yaml- Configuratie bestandscripts/zap-automation.mjs- Hoofdscriptzap-report.html- Scan resultaten (gegenereerd)