代码之家 › 专栏 › 技术社区 › TEH EMPRAH

ZAP不断扫描不必要的URL

zap owasp

3

TEH EMPRAH · 技术社区 · 7 年前

我正在做的是:

启动ZAP监听某个端口

zap.bat -daemon -host localhost -port 2355 -config api.disablekey=true

启动新会话

curl -X GET "http://localhost:2355/JSON/core/action/newSession/?zapapiformat=JSON&formMethod=GET&name=&overwrite=" -H "cache-control: no-cache"

通过REST服务,给它一个上下文,其中只包括一个URL模式

curl -X GET "http://localhost:2355/JSON/context/action/importContext/?zapapiformat=JSON&formMethod=GET&contextFile=some-test-context.context" -H "cache-control: no-cache"

在这里,我启动了selenium测试,浏览器绑定到一个代理:2355

启动卡盘

curl -X GET "http://localhost:2355/JSON/spider/action/scan/?zapapiformat=JSON&apikey=&formMethod=GET&url=&maxChildren=&recurse=&contextName=some-test-context&subtreeOnly=" -H "cache-control: no-cache"

启动活动扫描

curl -X GET "http://localhost:2355/JSON/ascan/action/scan/?zapapiformat=JSON&apikey=&formMethod=GET&url=&recurse=&inScopeOnly=&scanPolicyName=&method=&postData=&contextId=2" -H "cache-control: no-cache"

(2,因为始终存在id#1上下文,所以默认为1)

最后我收到了报告

curl -X GET "http://localhost:2355/OTHER/core/other/htmlreport/?formMethod=GET" -H "cache-control: no-cache" -H "content: application/json"

我很确定上下文路径是正确的并且存在(没有读取错误) 我很确定我指定了正确的上下文名称和id

无论如何,当我收到报告时,不仅在上下文的URL上有扫描结果。但也在生产环节,第三方网站等。

我是期望smth错了还是忘记了smth?

2 回复 | 直到 7 年前

1

Simon Bennetts 7 年前

浏览器将请求这些URL。ZAP将对通过其代理的所有请求执行被动扫描,它发现的任何潜在漏洞都将出现在报告中。因此,它的工作如期进行:)

您可以忽略它们,也可以使用允许您筛选报告的可选附加组件之一。

2

1

kingthorin 7 年前

你可以定义一个包含你想要结果的站点/应用的上下文(右键单击,添加到上下文,在历史记录选项卡或站点树中),并启用被动扫描选项,该选项将扫描限制为仅扫描范围内的消息。

还可以导出和导入上下文,以便干净地重复使用。

支持参考: