可以通过 API 将 Zap 用作 DAST 工具而无需爬取吗?
Can Zap be used as a DAST tool via API without spidering?
我正在尝试通过 API 将 Zap 用作 DAST 工具,但它有点烦人。
我可以将该工具用作攻击工具而不是代理工具吗?我的意思是,目前我无法在树中没有 url 的情况下启动主动扫描,这只能通过蜘蛛 afaik 完成,对吗?
我想要的是提供 url 并根据策略启动主动扫描并获得结果,现在我想起来了,这类似于仅使用攻击向量进行模糊测试,尽管我明白了URL X 的处理逻辑 如果没有历史记录或扫描完成,它不能只扫描页面的操作和变量吗?主要区别在于 page\url 扫描与蜘蛛搜索相反,后者假设还有其他 urls.
写完这篇文章后,我不确定是否可以在没有蜘蛛的情况下完成,除非你处于我的情况,所以让我解释一下。
举个例子,我只想扫描 SQLI 的登录页面,我正在使用 Owasp JuiceShop 让事情变得更容易,我可以告诉 zap 攻击一页吗?我在那个例子中找到的唯一方法是通过 POST 方法,因为 url 不是静态页面,除非它是一个动作,否则不会被 Zap 拾取,但是我无法启动它没有爬行,所以这就像一个循环。
抱歉这么久post希望你能提供一些见解。
在评论中更新
ZAP 必须知道它要攻击的站点。我们故意将发现和攻击的概念分开,因为没有一种发现选项对所有人都是最好的。您可以使用标准蜘蛛,ajax 蜘蛛,导入 url,导入像 OpenAPI 这样的定义,代理您的浏览器,代理回归测试,甚至通过 ZAP [=16] 直接向目标站点发出请求=].
看来您对 ZAP 有不少疑问。 ZAP 用户组对他们来说可能是一个更好的论坛:https://groups.google.com/group/zaproxy-users
我正在尝试通过 API 将 Zap 用作 DAST 工具,但它有点烦人。
我可以将该工具用作攻击工具而不是代理工具吗?我的意思是,目前我无法在树中没有 url 的情况下启动主动扫描,这只能通过蜘蛛 afaik 完成,对吗?
我想要的是提供 url 并根据策略启动主动扫描并获得结果,现在我想起来了,这类似于仅使用攻击向量进行模糊测试,尽管我明白了URL X 的处理逻辑 如果没有历史记录或扫描完成,它不能只扫描页面的操作和变量吗?主要区别在于 page\url 扫描与蜘蛛搜索相反,后者假设还有其他 urls.
写完这篇文章后,我不确定是否可以在没有蜘蛛的情况下完成,除非你处于我的情况,所以让我解释一下。 举个例子,我只想扫描 SQLI 的登录页面,我正在使用 Owasp JuiceShop 让事情变得更容易,我可以告诉 zap 攻击一页吗?我在那个例子中找到的唯一方法是通过 POST 方法,因为 url 不是静态页面,除非它是一个动作,否则不会被 Zap 拾取,但是我无法启动它没有爬行,所以这就像一个循环。
抱歉这么久post希望你能提供一些见解。
在评论中更新
ZAP 必须知道它要攻击的站点。我们故意将发现和攻击的概念分开,因为没有一种发现选项对所有人都是最好的。您可以使用标准蜘蛛,ajax 蜘蛛,导入 url,导入像 OpenAPI 这样的定义,代理您的浏览器,代理回归测试,甚至通过 ZAP [=16] 直接向目标站点发出请求=].
看来您对 ZAP 有不少疑问。 ZAP 用户组对他们来说可能是一个更好的论坛:https://groups.google.com/group/zaproxy-users