api - 利用 ZAP 进行 RESTAPI 测试
问题描述
我很好奇如何在 API 安全的上下文中使用 ZAP 来测试 RESTAPI。它只是可以使用的 OpenAPI 插件还是有其他(更有效的)方法?
解决方案
有一个 ZAP 常见问题解答 :) https://www.zaproxy.org/faq/how-can-you-use-zap-to-scan-apis/:
ZAP 了解 JSON 和 XML 等 API 格式,因此可用于扫描 API。
问题通常是如何有效地探索 API。
有多种选择:
- 如果您的 API 具有 OpenAPI/Swagger 定义,那么您可以使用OpenAPI 插件将其导入。
- 如果您有端点 URL 列表,则可以使用包含 URL 的导入文件插件导入这些 URL。
- 如果您对 API 进行了回归测试,那么您可以通过 ZAP 代理这些测试
附加组件可从 ZAP Marketplace 获得。
一旦 ZAP 知道 URL 端点,它就可以像扫描基于 HTML 的网站一样扫描它们。
如果您没有任何这些东西,请发布到ZAP 用户组,说明您正在尝试做什么以及遇到的问题。
有关更多详细信息,请参阅博客文章使用 ZAP 扫描 API。
推荐阅读
- django - 在 DJANGO REST 框架中缓存
- javascript - react framer-motion中的退出动画没有出现
- javascript - 如果 else 语句作为三元运算符,我将如何编写此语句
- java - 如何在 Java 中输入自己的数据类型?
- unit-testing - 如何使用 mockito 对 flink 计时器进行单元测试
- google-apps-script - 如何在选项卡名称中搜索列数据并将相关数据行复制到相关数据表中
- ios - 对于 ViewController 的“主”视图,您是否必须将 translatesAutoresizingMaskIntoConstraints 设置为 false?
- python - 有人可以解释这个“最长公共子序列”算法吗?
- jquery - 我已经获得了 Bearer Token,现在我该如何理解它,以及如何使用它
- python - Selenium 'find_element_by_XPath' 的简单问题