与 AppScan 相比,ZAP 有趣得多。但是,在 AppScan 中,限制和指导扫描要容易得多。
我必须在(几乎)生产环境中执行扫描,我们称之为环境暂存。在登台和制作中,我必须申请一个新帐户,所以在我这样做之前,我想调查替代方案。
我必须在包含许多文档的帐户中暂存运行扫描。我不希望 ZAP 只尝试文档 ID,因为这可能意味着我会弄乱我同事的文档。文档 ID 用于查询字符串,例如:https ://myapp.com/Edit?docid=764 。
我如何配置 ZAP,如果该 docid 参数在查询字符串中,它将始终使用值 764?ZAP 必须测试任何其他查询字符串参数,但 docid 必须始终相同。