您的位置: 首页  >  技术问答  >  ZAP可以用于SPA应用程序

ZAP可以用于SPA应用程序

分类: 技术问答 2022-09-09 11:14:25
问题描述:

我有一个SPA应用程序(angularjs前端/ restfull WebAPI后端)。 SPA是通过设计的客户端路由 - 即典型的 “页” 的模样ZAP可以用于SPA应用程序

http://contosco.com#/page1

http://contosco.com#/page2

..等

我知道,ZAP有 “AJAX抓取” 模式,其中它可以从“javascript”获取urls。然而,主动扫描只是发出http请求 - 所以我怀疑ZAP可以在这种情况下使用 - 或者我错了吗?

你在找什么样的漏洞?

您的应用程序仍然需要发出http请求,所以ZAP仍然能够测试这些请求。

我们还有一个DOM XSS扫描仪https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,您可以从ZAP市场下载。这将启动浏览器来检测DOM XSS漏洞。

也很开心写更多的客户端的规则,只要告诉我们你在找什么...

+0

如果ASCAN将访问http://contosco.com#/page1 - 除非ASCAN理解的JavaScript(它目前没有),它不会加载正确的html视图,因此它无法验证可能的XSS漏洞。 –

+0

DOM XSS扫描器启动浏览器,_does_了解JavaScript。我并不是说它一定会发现所有可能的XSS漏洞,但是如果你有它不能找到的例子,请告诉我们。 –

相关推荐