我正在命令行中使用ZAP(docker表单(在VM上运行经过身份验证的扫描,但它没有发现漏洞。我这样做:扫描步骤
首先,我确保ZAP知道打开URL的URL,然后我抓取它,最后我启动活动扫描,这似乎很好,因为没有错误,但在报告中,我们(只有(这样:XSS_r报告
所以我们这里应该有一个关于XSS的红色错误,但什么都没有。我在其他页面上得到了相同的结果。我脑海中出现了另一个问题,我们只能对一个URL进行抓取或主动扫描,我们如何用网站的所有URL进行报告?而不是每页一份报告。
感谢的帮助
ZAP Cli是一个第三方工具,如果您愿意,可以使用它,但ZAP核心团队不支持它。上提供了建议的自动化选项https://www.zaproxy.org/docs/automate/尝试运行打包的完全扫描。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium