OWASP ZAP应用程序安全性测试应用程序服务器网络

时间:2016-08-09 07:59:51

标签: owasp zap

我即将使用ZAP来评估我的Web应用程序的漏洞。我的架构是内部的应用服务器"在测试中,从其他Web应用程序服务器调用API。我正在克隆一个应用程序服务器来执行我的漏洞测试。我是否应该隔离其他服务器,而他们没有接受测试? ZAP会触发会影响其他应用服务器的东西吗? 我不太熟悉ZAP在"应用服务器上执行的每一项测试"因此问题..

1 个答案:

答案 0 :(得分:0)

如果不了解更多有关您的架构的话,很难说。

如果您使用任一ZAP蜘蛛扫描www.example.com,ZAP将尝试探索所有可用功能。如果ZAP找到指向www.example1.com的链接,那么它将忽略那些因为它们超出范围(除非你告诉ZAP否则)。但是,如果某些功能调用来自www.example2.com的API,则需要在幕后调用API。然后,这些API可能会被调用为ZAP扫描www.example.com的副作用。

这有帮助吗?