Я хотел бы использовать ZAP в режиме без заголовка для сканирования заданного набора URL-адресов. Вот что я сделал:
- Я запустил ZAP UI
- настроил его как HTTP_PROXY для браузера
- просмотрел мой веб-сайт (включая действия GET / POS / PUT во время путешествия)
- создал контекст и добавил соответствующие URL
- выполнил активное сканирование контекста
В этом сценарии все было в порядке: активное сканирование выполнило несколько атак GET / POST / PUT, как и предполагалось.
Затем, чтобы подготовиться к настройке в CI и смоделировать его поведение, я
- экспортировал контекст и его URL
- очистил контекст / URL / историю
- импортировал контекст и URL-адреса (через rest-api)
- выполнил активное сканирование импортированного контекста
В результате я вижу только GET-атаки против URL-адресов.
Я, конечно, мог бы настроить CI-Pipeline с помощью каких-то тестов пользовательского интерфейса на основе браузера, используя ZAP в качестве прокси (как я делал вручную перед выполнением активного сканирования), но этого я бы хотел избежать.
Так как же настроить ZAP для выполнения POST-атак на импортированные URL-адреса?
Изменить: параметры POST / PUT отправляются в теле запроса или как часть URL-адреса после стиля REST (например, method/param-1-key/param-1-value
) и т. д.