将后端端口添加到 ZAP 范围

Adding the backend port to ZAP scope

我正在测试一个由 .NET 5 应用程序支持的 Angular 应用程序。他们 运行 都在本地主机上。这是我第一次使用 OWASP Zed Attack Proxy

我可以将 http://localhost:4200 添加到 ZAP 范围,但 ZAP 似乎无法找到 https://localhost:5001 这是 Kestrel 后端

第二个答案可能是肯定的,因为它至少可以测试 SQL 注入令牌。

站点树仅包含以下内容

[-] Sites
[+] https://aadcdn.msftauth.net
[+] https://login.live.com
[+] https://aadcdn.msauth.net
[+] https://clients1.google.com
[+] https://update.googleapis.com
[+] http://127.0.0.1:50144
[+] https://dc.services.visualstudio.com
[+] https://login.microsoftonline.com
[+] http://localhost:4200
[+] https://accounts.google.com

注意,端口 50144 看起来像 ZAP 服务器本身

浏览器是否直接向 Kestrel 后端发出任何请求?如果不是,那么 ZAP 将不会知道它。

如果可以的话,您应该添加测试任何相关的后端。你有 API 定义吗? ZAP 可以导入 SOAP、OpenAPI/Swagger、GraphQL...