owasp - OWASP zap-api-scan.py url 排除
问题描述
zap-api-scan.py 是否可以获取 OpenAPI Yaml 文件而不仅仅是 OpenAPI JSON 文件
我可以从扫描的 API 路径中排除特定的 url 吗?我尝试添加类似的命令(真的不确定格式,做了一些广泛的谷歌搜索)。这是我想出的最接近的:-z -config globalexcludeurl.url_list.url.regex=https://10.0。 10.130/api/v2/api-docs'(工作失败)
解决方案
是的。以下是我们在单元测试中使用的一些:https ://github.com/zaproxy/zap-extensions/tree/master/addOns/openapi/src/test/resources/org/zaproxy/zap/extension/openapi /v2
我会从扫描程序中排除这些 URL,而不是全局排除(因为我不确定 OpenAPI 插件是否会遵守)。https://www.zaproxy.org/docs/desktop/start/features/globalexcludeurl/专业提示 - 使用 ZAP 桌面进行测试,更容易看到发生了什么。然后将其转换为命令行选项相对简单。