Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我即将使用 ZAP 来评估我的 Web 应用程序的漏洞。我的架构是这样的,即在内部被测试的“应用程序服务器”从其他 Web 应用程序服务器调用 API。我正在克隆一个应用程序服务器来执行我的漏洞测试。我是否也应该隔离其他服务器,而它们未在测试中?ZAP 会触发会影响其他应用程序服务器的东西吗?我不太熟悉 ZAP 在“应用程序服务器”上执行的每一个测试,因此这个问题..
如果不了解您的架构,这很难说。
如果您使用任一 ZAP 蜘蛛扫描 www.example.com,则 ZAP 将尝试探索所有可用功能。如果 ZAP 找到指向 www.example1.com 的链接,那么它将忽略那些超出范围的链接(除非您另外告诉 ZAP)。但是,如果某些功能在“幕后”调用 www.example2.com 的 API,那么这些 API 可能会作为 ZAP 扫描 www.example.com 的副作用而被调用。
这些帮助有用?