如何在 owasp zap 中单独扫描特定的 URL 或页面

How to scan particular URL or page alone in owasp zap

提问人:karthik anandan 提问时间:8/6/2019 最后编辑:karthik anandan 更新时间:4/25/2022 访问量:1351

问:

我已经安装了OWASP ZAP 2.8.0并完全扫描了我们的网站。结果,我们得到了一些SQL注入URL或页面。因此,我们已经修复了开发中提到的 OWASP 工具中的 SQL 注入问题。

  1. 如何扫描OWASP中的特定页面或URL?

    例:

    我们已经完全扫描了 http://www.samples.com 结果,我们得到了以下 URL 是否可以进行 SQL 注入。http://www.samples.com/sales

    因此,在开发中,我们仅为此页面提供了一些修复程序。如果我们再次扫描 http://www.samples.com/sales 进行检查。它扫描我们的完整网站。需要 2 天以上才能完成。如何在OWASP中扫描该特定页面或URL?

    我试过这个 - https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsImporturlsImportUrls 但不起作用。

    谢谢

C# 安全性 SQL 注入 OWASP ZAP

评论

0赞 kingthorin 8/8/2019
去做吧????选择站点树中的叶节点,而不是父节点。(或者,选择请求的特定历史记录,然后从那里启动扫描。

答:

0赞 DarthVader 4/25/2022 #1

“选择站点树中的叶节点而不是父节点”方式对我不起作用 - 我的测试正在计划/自动运行。每当我启动 ZAP GUI 时,站点树都会是空的

我想出的最好的方法是:
定义上下文/使用默认上下文指向“http://www.samples.com/sales.*”而不是使用“http://www.samples.com”

现在我想,我应该能够右键单击上下文并选择“主动扫描”,但如果我这样做,我的扫描任务将不会取得任何进展(使用 ZAP 2.11.1 - Bug?
相反,我在此上下文中创建了一个“完全扫描”“自动化任务”。就我而言,蜘蛛作业将在几秒钟内完成,扫描任务将在 4-5 分钟内完成(而不是扫描整个页面 20 小时)

不过,活动扫描部分仍将包含默认 URL,例如“http://www.samples.com/WEB-iNF/web.xml”

上一个:Room 迁移类中原始查询的 SQL 注入

下一个:乘法运算符会导致 SQL 注入吗?