我有一个 SPA 应用程序(angularjs 前端/restfull WebAPI 后端)。SPA 是使用客户端路由设计的 - 即典型的“页面”看起来像
.. ETC
我知道 ZAP 具有“ajax spidering”模式,它可以“从 javascript”获取 url。然而,主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以在这种情况下使用 - 还是我错了?
我有一个 SPA 应用程序(angularjs 前端/restfull WebAPI 后端)。SPA 是使用客户端路由设计的 - 即典型的“页面”看起来像
.. ETC
我知道 ZAP 具有“ajax spidering”模式,它可以“从 javascript”获取 url。然而,主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以在这种情况下使用 - 还是我错了?
您在寻找什么样的漏洞?
您的应用程序仍然必须发出 http 请求,因此 ZAP 仍然能够测试这些请求。
我们还有一个 DOM XSS 扫描器https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,您可以从 ZAP Marketplace 下载它。这将启动一个浏览器来检测 DOM XSS 漏洞。
也很高兴编写更多客户端规则,只需告诉我们您在寻找什么......