将后端端口添加到 ZAP 范围
Adding the backend port to ZAP scope
我正在测试一个由 .NET 5 应用程序支持的 Angular 应用程序。他们 运行 都在本地主机上。这是我第一次使用 OWASP Zed Attack Proxy
我可以将 http://localhost:4200 添加到 ZAP 范围,但 ZAP 似乎无法找到 https://localhost:5001 这是 Kestrel 后端
- 问题:如何从 HUD 手动将站点添加到范围?
- 问题:将 REST 后端添加到 ZAP 范围以进行主动扫描是否有意义?
第二个答案可能是肯定的,因为它至少可以测试 SQL 注入令牌。
站点树仅包含以下内容
[-] Sites
[+] https://aadcdn.msftauth.net
[+] https://login.live.com
[+] https://aadcdn.msauth.net
[+] https://clients1.google.com
[+] https://update.googleapis.com
[+] http://127.0.0.1:50144
[+] https://dc.services.visualstudio.com
[+] https://login.microsoftonline.com
[+] http://localhost:4200
[+] https://accounts.google.com
注意,端口 50144 看起来像 ZAP 服务器本身
浏览器是否直接向 Kestrel 后端发出任何请求?如果不是,那么 ZAP 将不会知道它。
如果可以的话,您应该添加测试任何相关的后端。你有 API 定义吗? ZAP 可以导入 SOAP、OpenAPI/Swagger、GraphQL...
我正在测试一个由 .NET 5 应用程序支持的 Angular 应用程序。他们 运行 都在本地主机上。这是我第一次使用 OWASP Zed Attack Proxy
我可以将 http://localhost:4200 添加到 ZAP 范围,但 ZAP 似乎无法找到 https://localhost:5001 这是 Kestrel 后端
- 问题:如何从 HUD 手动将站点添加到范围?
- 问题:将 REST 后端添加到 ZAP 范围以进行主动扫描是否有意义?
第二个答案可能是肯定的,因为它至少可以测试 SQL 注入令牌。
站点树仅包含以下内容
[-] Sites
[+] https://aadcdn.msftauth.net
[+] https://login.live.com
[+] https://aadcdn.msauth.net
[+] https://clients1.google.com
[+] https://update.googleapis.com
[+] http://127.0.0.1:50144
[+] https://dc.services.visualstudio.com
[+] https://login.microsoftonline.com
[+] http://localhost:4200
[+] https://accounts.google.com
注意,端口 50144 看起来像 ZAP 服务器本身
浏览器是否直接向 Kestrel 后端发出任何请求?如果不是,那么 ZAP 将不会知道它。
如果可以的话,您应该添加测试任何相关的后端。你有 API 定义吗? ZAP 可以导入 SOAP、OpenAPI/Swagger、GraphQL...