我正在尝试通过API将Zap用作DAST工具,这有点烦人。
我可以将该工具用作攻击工具而不是代理工具吗? 我的意思是,目前我无法在没有 URL 在树中的情况下启动主动扫描,这只能通过蜘蛛 AFAIK 完成,对吗?
我想要的是提供 url 并根据策略启动主动扫描并获得结果,现在我想到了,这类似于仅使用攻击向量进行模糊测试,尽管我看到了如何处理 URL X 的逻辑如果没有历史记录或扫描完成,它不能只扫描页面以查找操作和变量吗? 主要区别是页面\URL扫描与爬虫相反假设还有其他网址。
写完这篇文章后,我不确定没有蜘蛛也能做到,除非你处于我的情况,所以让我解释一下。 例如,假设我只想扫描SQLi的登录页面,并且我正在使用Owasp JuiceShop使事情变得更容易,我可以告诉zap攻击一个页面吗?我在该示例中找到的唯一方法是通过 POST 方法,因为 url 不是静态页面,除非它是一个动作,否则 Zap 不会拾取它,但是我无法在不爬取的情况下启动它,所以这就像一个循环。
很抱歉这篇文章很长,希望你能提供一些见解。
评论中的更新
ZAP 必须知道它将要攻击的站点。我们故意将发现和攻击的概念分开,因为没有一个发现选项最适合所有人。您可以使用标准蜘蛛,ajax蜘蛛,导入url,导入OpenAPI等定义,代理浏览器,代理回归测试,甚至通过ZAP API直接向目标站点发出请求。
看起来你对 ZAP 有很多问题。ZAP用户组对他们来说可能是一个更好的论坛:https://groups.google.com/group/zaproxy-users