Zap vadin设置问题

Question

作为安全测试的新手，我正在尝试运行基本步骤，然后尝试运行蜘蛛和主动扫描。我看过owasp＆amp;的几段视频。 youtube并尝试理解所包含的ZAP文档。但是，在进行蜘蛛爬行或主动扫描时，我不认为ZAP已登录。

我的基于Java + Vadin & Spring的应用程序，POST网址在发出任何类型的请求时都不会发生变化。只是请求参数改变了。 POST网址始终是

  

http://example.com/UIDL/?v-uiId=0

我用过

• 在运行spider / active scan
之前，在HTTP会话下设置Active Session
• 设置了上下文（尽管很少有网址出现在网站下），
• 我还尝试用＆＃34; page＆＃34;，＆＃34; UIDL＆＃34;等词来更新结构参数。我可以在网址
中看到的
• 我还试图排除退出网址，但由于所有POST网址都相同，所以蜘蛛网和主动扫描在这种情况下并没有做任何事情。
• 右键单击，我可以选择将请求选为基于表单的身份验证。

我也试过了，然而，它填充了＆＃34;登录请求POST数据＆＃34;像vaues一样

  

12929ddf-5d7f-4264-b810-2fa8f38eca6f [[＆＃34; 597＆＃34;＆＃34; V＆＃34;＆＃34; V＆＃34; [＆＃34; pagelength＆＃34; [＆＃34; I＆＃34;＆＃34; 28＆＃34]]]，[＆＃34; 597＆＃34;＆＃34; v＆＃34;＆＃34; v＆＃34; [＆＃34; firstToBeRendered＆＃34; [＆＃34; I＆＃34;＆＃34; 0＆＃34]]]，[＆＃34; 597＆＃34;＆＃34; v＆＃34 ;，＆＃34; v＆＃34; [＆＃34; lastToBeRendered＆＃34; [＆＃34; I＆＃34;＆＃34; 26＆＃34]]]，[＆＃34; 597＆＃ 34;，＆＃34; v＆＃34;＆＃34; v＆＃34; [＆＃34; reqfirstrow＆＃34; [＆＃34; I＆＃34;＆＃34; 15＆＃34;] ]]，[＆＃34; 597＆＃34;＆＃34; v＆＃34;＆＃34; v＆＃34; [＆＃34; reqrows＆＃34; [＆＃34; I＆＃34; ＆＃34; 12＆＃34;]]]]

并填写完全相同的用户名/密码字段。

最后一点，我们是否真的需要禁用XSRF以便能够在Java/Vadin个应用程序中正确使用ZAP？

我只是想让它工作，然后继续从那里学习。如果有人能帮助我正确设置，我将不胜感激。