OWASP ZAP应用程序针对应用程序服务器网络的安全性测试
问题描述:
我即将使用ZAP来评估我的Web应用程序的漏洞。我的架构是在内部测试的“应用程序服务器”,从其他Web应用程序服务器调用API。我正在克隆单个应用程序服务器来执行我的漏洞测试。我应该隔离其他服务器,而他们没有被测试? ZAP是否会触发会影响其他应用程序服务器的内容? 我对ZAP在“应用服务器”上执行的每一项测试都不太熟悉,因此提出了这个问题......OWASP ZAP应用程序针对应用程序服务器网络的安全性测试
答
如果不知道更多关于您的架构的信息,这很难说。
如果您使用任一ZAP蜘蛛扫描www.example.com,ZAP将尝试探索所有可用的功能。如果ZAP找到www.example1.com的链接,那么它将忽略那些超出范围的链接(除非您另外告诉ZAP)。但是,如果某些功能从www.example2.com的“幕后”调用API,则可能会调用这些API作为ZAP扫描www.example.com的副作用。
这有帮助吗?
谢谢你的答案Psiinon,所以我的网址在测试类似于https://example.com.something.dosomething内部调用https://anotherapp.com.something.dosomething。我打算不克隆anotherapp.com服务器,因为它没有被测试。但正如你所提到的那样,我有可能不得不克隆整个应用服务器组来开始我的测试。这将增加我的成本:( – Kris
我认为这是一个很好的计划。ZAP不知道内部的https://example.com.something.dosomething/,因此可以轻松完成一些调用https://anotherapp.com.something.dosomething/的操作。您可以从ZAP扫描中排除部分应用程序,但我不会知道这对你会有多容易。 –