与AppScan相比,ZAP更有趣。但是,在AppScan中,限制和指导扫描要容易得多。
我必须在(几乎)生产环境中执行扫描,让我们调用此环境暂存。在分期和制作中,我必须申请一个新帐户,所以在我这样做之前,我想研究替代方案。
我必须在包含许多文档的帐户中运行扫描。我不希望ZAP只是尝试文档ID,因为这可能意味着我弄乱了我的同事的文件。文档ID在查询字符串中使用,例如:https://myapp.com/Edit?docid=764。
如何以这样的方式配置ZAP:如果该docid参数在查询字符串中,它将始终使用值764? ZAP必须测试任何其他查询字符串参数,但docid必须始终相同。
答案 0 :(得分:1)
在最新版本的ZAP(目前为2.4.0)中,打开“主动扫描”对话框,然后选中“显示高级选项”'框。 在'输入向量'标签添加' docid'到扫描仪将忽略的参数列表。 那个应该做的伎俩,但我先在安全的环境中测试它;) 如果它不起作用,那么提出这个问题。
Simon(ZAP项目负责人)