我有一个SPA应用程序(angularjs前端/ restfull WebAPI后端)。 SPA是使用客户端路由设计的 - 即典型的“页面”看起来像
..等等
我知道ZAP有“ajax spidering”模式,它可以从“javascript”获取网址。然而,主动扫描只是发出http请求 - 所以我怀疑ZAP可以在这种情况下使用 - 或者我错了吗?
答案 0 :(得分:0)
您在寻找什么样的漏洞?
您的应用程序仍然需要发出http请求,因此ZAP仍然可以测试这些请求。
我们还有一个DOM XSS扫描程序https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,您可以从ZAP市场下载它。这将启动一个浏览器来检测DOM XSS漏洞。
也很乐意写出更多的客户端规则,只需告诉我们你在寻找什么......