0

与 AppScan 相比,ZAP 有趣得多。但是,在 AppScan 中,限制和指导扫描要容易得多。

我必须在(几乎)生产环境中执行扫描,我们称之为环境暂存。在登台和制作中,我必须申请一个新帐户,所以在我这样做之前,我想调查替代方案。

我必须在包含许多文档的帐户中暂存运行扫描。我不希望 ZAP 只尝试文档 ID,因为这可能意味着我会弄乱我同事的文档。文档 ID 用于查询字符串,例如:https ://myapp.com/Edit?docid=764 。

我如何配置 ZAP,如果该 docid 参数在查询字符串中,它将始终使用值 764?ZAP 必须测试任何其他查询字符串参数,但 docid 必须始终相同。

4

1 回答 1

1

在最新版本的 ZAP(当前为 2.4.0)中,打开主动扫描对话框并选中“显示高级选项”框。在“输入向量”选项卡中,将“docid”添加到扫描仪将忽略的参数列表中。这应该可以解决问题,但我会先在安全的环境中进行测试;)如果它不起作用,那么将其作为一个问题提出。

西蒙(ZAP 项目负责人)

于 2015-05-27T10:07:10.533 回答