continuous-integration - OWASP ZAP HTTP POST 扫描未使用导入的 URL 执行

问题描述

我想在无头模式下使用 ZAP 来扫描一组给定的 URL。这是我所做的：

• 我启动了 ZAP UI
• 将其配置为浏览器的 HTTP_PROXY
• 浏览了我的网站（包括旅程中的 GET/POS/PUT 操作）
• 创建了一个上下文并添加了相关的 url
• 对上下文执行主动扫描

在这种情况下，一切都很好：主动扫描按预期执行了几次 GET/POST/PUT 攻击。

然后为了准备在 CI 中进行设置并模拟那里的行为，我

• 导出上下文及其网址
• 清除上下文/网址/历史
• 导入上下文和 URL（通过 rest-api）
• 对导入的上下文执行主动扫描

结果，我只看到针对 URL 的 GET 攻击。

我当然可以使用 ZAP 作为代理（就像我在执行主动扫描之前手动所做的那样）设置一个带有某种基于浏览器的 ui 测试的 CI-Pipeline，但我想避免这种情况。

那么调整 ZAP 以对导入的 URL 执行 POST 攻击的方法是什么？

编辑：POST/PUT 参数在请求正文中发送，或者作为 REST 样式（例如method/param-1-key/param-1-value）等之后的 URL 的一部分发送。

标签： continuous-integrationowaspzap