0

我即将使用 ZAP 来评估我的 Web 应用程序的漏洞。我的架构是这样的,即在内部被测试的“应用程序服务器”从其他 Web 应用程序服务器调用 API。我正在克隆一个应用程序服务器来执行我的漏洞测试。我是否也应该隔离其他服务器,而它们未在测试中?ZAP 会触发会影响其他应用程序服务器的东西吗?我不太熟悉 ZAP 在“应用程序服务器”上执行的每一个测试,因此这个问题..

4

1 回答 1

0

如果不了解您的架构,这很难说。

如果您使用任一 ZAP 蜘蛛扫描 www.example.com,则 ZAP 将尝试探索所有可用功能。如果 ZAP 找到指向 www.example1.com 的链接,那么它将忽略那些超出范围的链接(除非您另外告诉 ZAP)。但是,如果某些功能在“幕后”调用 www.example2.com 的 API,那么这些 API 可能会作为 ZAP 扫描 www.example.com 的副作用而被调用。

这些帮助有用?

于 2016-08-09T08:30:50.780 回答