continuous-integration - OWASP ZAP HTTP POST 扫描未使用导入的 URL 执行
问题描述
我想在无头模式下使用 ZAP 来扫描一组给定的 URL。这是我所做的:
- 我启动了 ZAP UI
- 将其配置为浏览器的 HTTP_PROXY
- 浏览了我的网站(包括旅程中的 GET/POS/PUT 操作)
- 创建了一个上下文并添加了相关的 url
- 对上下文执行主动扫描
在这种情况下,一切都很好:主动扫描按预期执行了几次 GET/POST/PUT 攻击。
然后为了准备在 CI 中进行设置并模拟那里的行为,我
- 导出上下文及其网址
- 清除上下文/网址/历史
- 导入上下文和 URL(通过 rest-api)
- 对导入的上下文执行主动扫描
结果,我只看到针对 URL 的 GET 攻击。
我当然可以使用 ZAP 作为代理(就像我在执行主动扫描之前手动所做的那样)设置一个带有某种基于浏览器的 ui 测试的 CI-Pipeline,但我想避免这种情况。
那么调整 ZAP 以对导入的 URL 执行 POST 攻击的方法是什么?
编辑:POST/PUT 参数在请求正文中发送,或者作为 REST 样式(例如method/param-1-key/param-1-value
)等之后的 URL 的一部分发送。
解决方案
推荐阅读
- google-cloud-dataflow - 如何以编程方式取消运行时间过长的 Dataflow 作业?
- oracle - 无法获取 oracle 和 hikaricp 的驱动程序实例
- go - 当我添加 multipart.NewWriter(body_buf) 时,程序不会停止
- python - 使用带有 python sql 游标的表名的变量
- python - 在 TensorFlow 镜像策略分布式计算中传递输入
- pandas - 将列表附加到数据框
- sql - ALTER 查询中的“表存储引擎没有此选项”错误
- laravel - Laravel 5 Vue 热模块更换(HMR)
- bash - 如果检查 ssh OK 然后连接到服务器 1,如果 ssh NOT OK 然后连接到服务器 2,如何检查 ssh 可用性?
- python - 在 python 中查找特定文本的优雅方法