我在安全测试项目中使用ZAP。它确实对我有很大帮助。但是我和我的项目经理也想知道一个问题,“我们的登录请求是POST请求。而不是为什么zap通过将名称 Post 更改为
答案 0 :(得分:1)
ZAP在带有GET请求的页面上报告了潜在的漏洞这一事实一点也不足为奇。 在这种情况下,使用ZAP蜘蛛程序-这将使用GET请求来请求找到的所有链接,并且仅在找到合适的形式时才发出POST请求。 如果没有更多信息,就无法说出该特定漏洞是否真的应该在POST请求中报告。
有关更多信息,请参见有关ZAP用户组的讨论:https://groups.google.com/d/msg/zaproxy-users/TGrlqPFc7FI/wSqi9wFrCgAJ