Make cloud base ZAP Scanning Environment Using github-action

Hi hackers and bugbounty hunters :D Today, I talk about building a github-action-based ZAP scanning environment. As you know, there is no time limit for public repo, so you can configure a cloud-based vulnerability scanner for free 😉

저는 보통 개인적인 작업 시 홈서버의 ZAP을 스캐너로 많이 사용합니다. 다만 ZAP의 스캔량이 많아지는 경우 서버 피씨가 굉장히 힘들어하는걸 느끼고 있어, 가능한 ZAP 스캐닝도 클라우드 환경으로 넘겨보려고 했었습니다. (이는 벌써 2년전부터 비용을 최소화하는 방법들을 찾고있었네요. 대표적으로 heroku…)

아무튼 최근 github action 쪽으로 작업을 많이 하고있는데, 보다보니 취약점 스캐닝 작업을 CI/CD DAST의 목적이 아닌, 단순한 매뉴얼 스캐너로도 쓸 수 있을 것 같아서 글로 작성해봅니다.

What is Github Actions(workflow)

Github action is automate, customize, and execute software development workflows right in repository. Can discover, create, and share actions to perform any job you’d like, including CI/CD, and combine actions in a completely customized workflow.

Github action은 github에서 제공하는 CI/CD를 위한 자동화 환경입니다. workflow 파일로 수행할 액션과 조건을 명시하면 해당 조건이 트리거될 때 의도한 액션(빌드/배포/테스팅 등등)이 수행됩니다.

ZAP workflow for CI/CD DAST Scanning

ZAP, the representative of DAST, is also adding and managing github action. Typically, it is divided into baseline scan and fullscan.

DAST의 대표주자인 ZAP은 github action 또한 추가하고 관리중입니다. 대표적으로 baseline scan과 fullscan으로 나뉘어져 있습니다.

How? manually scanning

Github action is designed to work only under certain conditions, such as push, pull request, and cron. However, if using workflow_dispatch, can manual workflow triggers.

기본적으로 github action은 push, pull request 및 cron 등 특정 조건에서만 동작하도록 설계되어 있습니다. 그렇지만 workflow_dispatch라는걸 지원해주면서, 매뉴얼한 workflow 트리거도 가능합니다.

https://www.hahwul.com/2020/10/18/how-to-trigger-github-action-manually

Test ZAP Manual Scanning in git-action

My testing git repository

https://github.com/hahwul/zap-cloud-scan

Make workflow file

Workflow file(.github/workflow/zap-scan.yml)

name: ZAP-SCAN
on:
   schedule:
     - cron: '0 2 * * sun' #
   workflow_dispatch:
      inputs:
         target:
            description: 'target URL'     
            required: true
            default: ''

jobs:
  zap_scan:
    runs-on: ubuntu-latest
    name: Scan the webapplication
    steps:
      - name: Checkout
        uses: actions/checkout@v2
        with:
          ref: main
      - name: ZAP Scan
        uses: zaproxy/action-baseline@v0.4.0
        with:
          token: ${{ secrets.GITHUB_TOKEN }}
          docker_name: 'owasp/zap2docker-stable'
          target: "${{ github.event.inputs.target }}"
          rules_file_name: '.zap/rules.tsv'
          cmd_options: '-a'

workflow_dispatch: for manually
workflow_dispatch/inputs: value and parameter
jobs/zap_scan: zap scanning

Run git-action with parameter

Your repo > Actions > Your action name > Run workflow > Input parameter and run workflow

Running..

Finish

When finished, the results are registered as an issue.

완료되면 결과는 issue로 등록됩니다.

Referneces