Я новичок в тестировании уязвимостей на моей новой работе в разработке сайта EC (мы также запускаем их и продолжаем запускать на AWS EC2).
Мне интересно, есть ли способ настроить Spider, чтобы я мог получить вывод «цепочки URL-адресов» для обслуживания всех запросов, перечисленных при запуске php artisan route:list
В настоящее время мой коллега, который присоединился к компании за несколько месяцев до меня, вручную вводит эту информацию в электронную таблицу. Бывший. «Главная-> Зарегистрируйте информацию о пользователе-> Подтвердите информацию о зарегистрированном пользователе-> главная страница покупок-> страница категории товара-> страница описания товара-> подтвердите добавление продукта на страницу корзины-> и т. Д.» Я нахожу это чрезвычайно утомительным, и он тоже, и, поскольку он говорит только по-японски, я не думаю, что он может размещать здесь вопросы.
Я начал просматривать документацию Zap, но не нашел ничего подходящего пока что. Любой совет приветствуется.
Настройка OWASP Zap Spider для вывода цепочки URL-адресов для каждого запроса
Ответы (1)
Вы можете выполнять активное сканирование определенных порядков операций, используя надстройку Sequence: https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsSequenceSequence. Вы можете получить его через ZAP Marketplace:
Также есть надстройка Call Graph, которая может быть вам полезна, хотя я не знаю, какие параметры экспорта он предоставляет макушка моей головы.
Другой альтернативой, которая может сработать для вас, было бы написание автономного скрипта, который просматривает дерево сайтов или таблицу истории, просматривая URL-адреса и заголовки Referer:
- https://github.com/zaproxy/community-scripts/blob/master/standalone/Traverse%20sites%20tree.js
- https://github.com/zaproxy/community-scripts/blob/master/standalone/Loop%20through%20history%20table.js
person
kingthorin
schedule
11.09.2018
Я поискал надстройку Call Graph, но не нашел. У вас бы случайно не было URL-адреса, не так ли?
- person mLstudent33; 13.09.2018
Добавил скриншот выше. Теперь, когда я смог его найти, он не будет делать то, что вам нужно :(
- person kingthorin; 13.09.2018