Authentication Zap Vaadin设置问题
作为安全测试的新手,我尝试运行基本步骤,然后尝试运行spider和活动扫描。我看过两段来自Authentication Zap Vaadin设置问题,authentication,owasp,zap,Authentication,Owasp,Zap,作为安全测试的新手,我尝试运行基本步骤,然后尝试运行spider和活动扫描。我看过两段来自owasp&youtube的视频,并试图理解其中包含的ZAP文档。但是,我不认为ZAP在进行爬行或活动扫描时登录 我的是一个基于Java+Vaadin&Spring的应用程序,发布的URL在发出任何请求时都不会改变。只是请求参数改变了。帖子的URL总是 http://example.com/UIDL/?v-uiId=0 我用过 在运行爬行器/活动扫描之前,在HTTP会话下设置活动会话 设置了上下文(尽管站
owasp
&youtube
的视频,并试图理解其中包含的ZAP文档。但是,我不认为ZAP在进行爬行或活动扫描时登录
我的是一个基于Java
+Vaadin&Spring
的应用程序,发布的URL在发出任何请求时都不会改变。只是请求参数改变了。帖子的URL总是
http://example.com/UIDL/?v-uiId=0
我用过
- 在运行爬行器/活动扫描之前,在HTTP会话下设置活动会话
- 设置了上下文(尽管站点下很少出现URL)
- 我还尝试用“页面”、“UIDL”等词更新结构参数,我可以在URL的
- 我还试图排除注销URL,但由于所有的帖子URL都是相同的,所以在这种情况下,爬行器和活动扫描实际上什么都不做
- 在右键单击时,我得到了一个选项,可以选择请求作为基于表单的身份验证
XSRF
才能在Java/Vaadin
应用程序中正确使用ZAP吗
我只是想让它工作起来,然后继续从中学习。如果有人能帮我做正确的设置,我将不胜感激
这里有很多问题:/I我可以尝试在这里回答这些问题,但最后我会指向ZAP wiki,然后删除我的答案:p我建议在ZAP用户组上回答这个问题:我认为这是讨论此类设置问题的更好论坛。谢谢@Psiinon,我已经将其添加到google组中。