限制 ZAP 扫描仪
Restrict ZAP scanner
相比AppScan,ZAP好玩多了。但是,在 AppScan 中,限制和引导扫描要容易得多。
我必须在(几乎)生产环境中执行扫描,我们称此环境为暂存。在暂存和生产中,我必须申请一个新帐户,所以在我这样做之前,我想调查替代方案。
我必须 运行 在包含大量文档的帐户中暂存扫描。我不希望 ZAP 只尝试文档 ID,因为这可能意味着我会弄乱我同事的文档。文档 ID 在查询字符串中使用,例如:https://myapp.com/Edit?docid=764.
我如何配置 ZAP,如果该 docid 参数在查询字符串中,它将始终使用值 764? ZAP 必须测试任何其他查询字符串参数,但 docid 必须始终相同。
在最新版本的 ZAP(当前为 2.4.0)中打开“主动扫描”对话框并选中 'Show advance options' 框。
在 'Input Vectors' 选项卡中,将 'docid' 添加到将被扫描器忽略的参数列表中。
应该 可以解决问题,但我会先在安全的环境中进行测试;)
如果它不起作用,请将其作为问题提出。
西蒙(ZAP 项目负责人)
相比AppScan,ZAP好玩多了。但是,在 AppScan 中,限制和引导扫描要容易得多。
我必须在(几乎)生产环境中执行扫描,我们称此环境为暂存。在暂存和生产中,我必须申请一个新帐户,所以在我这样做之前,我想调查替代方案。
我必须 运行 在包含大量文档的帐户中暂存扫描。我不希望 ZAP 只尝试文档 ID,因为这可能意味着我会弄乱我同事的文档。文档 ID 在查询字符串中使用,例如:https://myapp.com/Edit?docid=764.
我如何配置 ZAP,如果该 docid 参数在查询字符串中,它将始终使用值 764? ZAP 必须测试任何其他查询字符串参数,但 docid 必须始终相同。
在最新版本的 ZAP(当前为 2.4.0)中打开“主动扫描”对话框并选中 'Show advance options' 框。 在 'Input Vectors' 选项卡中,将 'docid' 添加到将被扫描器忽略的参数列表中。 应该 可以解决问题,但我会先在安全的环境中进行测试;) 如果它不起作用,请将其作为问题提出。
西蒙(ZAP 项目负责人)