我使用OWASP ZAP对我的网站进行了扫描。但在我停止扫描后,它在网站上连续提交了近2000份表格。有什么解决方案可以停止提交表格吗?
在这种情况下,预防肯定胜于治疗。
默认情况下,当您使用ZAP spider和活动扫描仪时,ZAP将访问它能找到的所有URL、表单和功能。如果其中一个结果导致你的应用程序发送电子邮件,那么有人会收到很多电子邮件。(考虑其他场景,如发送订单、人力资源行动、服务台票证等(
如果这种情况已经发生,那么在ZAP中基本上没有什么可以阻止这些电子邮件的发送。如果ZAP spider或扫描仪仍在运行,您可以停止它,但ZAP已经多次提交表单,因此生成的电子邮件将被发送到您的电子邮件服务器。
您可以在邮件服务器上停止电子邮件(或者在应用程序中,如果它将它们排队的话(,但这与ZAP无关。
最好的选择是确保ZAP不会首先提交相关表单,或者在非生产环境中执行测试。
您可以将spider和活动扫描仪配置为不提交任何表单,但这将大大降低这些工具的有效性。
最好的选择是通过"排除"从spider和活动扫描仪中明确排除这些页面,或从ZAP中整体排除这些页面-可以通过右键单击"排除"菜单或"会话属性"对话框访问这些页面。
摘自常见问题解答;(https://www.zaproxy.org/faq/how-can-i-prevent-zap-from-sending-me-1000s-of-emails-via-a-contact-us-form/