我即将使用ZAP来评估我的Web应用程序的漏洞。我的架构是内部的应用服务器"在测试中,从其他Web应用程序服务器调用API。我正在克隆一个应用程序服务器来执行我的漏洞测试。我是否应该隔离其他服务器,而他们没有接受测试? ZAP会触发会影响其他应用服务器的东西吗? 我不太熟悉ZAP在"应用服务器上执行的每一项测试"因此问题..
答案 0 :(得分:0)
如果不了解更多有关您的架构的话,很难说。
如果您使用任一ZAP蜘蛛扫描www.example.com,ZAP将尝试探索所有可用功能。如果ZAP找到指向www.example1.com的链接,那么它将忽略那些因为它们超出范围(除非你告诉ZAP否则)。但是,如果某些功能调用来自www.example2.com的API,则需要在幕后调用API。然后,这些API可能会被调用为ZAP扫描www.example.com的副作用。
这有帮助吗?