我是 ZAP 2.5 的新手,目前我有这些问题尚未得到解答:
- 可以在受保护的网站中执行 ZAP 吗?请注意,我不知道使用什么方法来保护网站。但是每当我尝试用它执行 ZAP 时,它只会检查网站的登录表单;ZAP 没有深入挖掘。知道网站受到保护是否正常?
- 我不是在入侵网站;只是我的导师想让我知道我或 ZAP 是否有能力对我们的网站进行安全测试,即使它受到保护。真的有可能吗?如果是这样,怎么做?
我希望有人能启发我,因为到目前为止,我还没有找到任何答案。谢谢!
它可以。您可以阅读手册中的如何配置它。
像 ZAP 这样的安全工具不是靠魔法工作的。它们允许您自动执行重复性任务,这些任务需要手动渗透测试仪才能手动执行。
如果您有一个复杂的登录过程,那么您将需要了解它是如何工作的,以便配置 ZAP 如何处理它。通过 ZAP 代理您的浏览器。手动登录并查看代理的请求和响应。尝试了解身份验证的工作原理——一旦完成,您就可以开始研究如何通过 ZAP 自动登录。