时间戳

首页 > 解决方案 > OWASP zap-api-scan.py url 排除

owasp - OWASP zap-api-scan.py url 排除

问题描述

  1. zap-api-scan.py 是否可以获取 OpenAPI Yaml 文件而不仅仅是 OpenAPI JSON 文件

  2. 我可以从扫描的 API 路径中排除特定的 url 吗?我尝试添加类似的命令(真的不确定格式,做了一些广泛的谷歌搜索)。这是我想出的最接近的:-z -config globalexcludeurl.url_list.url.regex=https://10.0。 10.130/api/v2/api-docs'(工作失败)

标签: owaspzap

解决方案

  1. 是的。以下是我们在单元测试中使用的一些:https ://github.com/zaproxy/zap-extensions/tree/master/addOns/openapi/src/test/resources/org/zaproxy/zap/extension/openapi /v2

  2. 我会从扫描程序中排除这些 URL,而不是全局排除(因为我不确定 OpenAPI 插件是否会遵守)。https://www.zaproxy.org/docs/desktop/start/features/globalexcludeurl/专业提示 - 使用 ZAP 桌面进行测试,更容易看到发生了什么。然后将其转换为命令行选项相对简单。

推荐阅读