3
我有一個SPA應用程序(angularjs前端/ restfull WebAPI後端)。 SPA是通過設計的客戶端路由 - 即典型的 「頁」 的模樣ZAP可以用於SPA應用程序
..等
我知道,ZAP有 「AJAX抓取」 模式,其中它可以從「javascript」獲取urls。然而,主動掃描只是發出http請求 - 所以我懷疑ZAP可以在這種情況下使用 - 或者我錯了嗎?
我有一個SPA應用程序(angularjs前端/ restfull WebAPI後端)。 SPA是通過設計的客戶端路由 - 即典型的 「頁」 的模樣ZAP可以用於SPA應用程序
..等
我知道,ZAP有 「AJAX抓取」 模式,其中它可以從「javascript」獲取urls。然而,主動掃描只是發出http請求 - 所以我懷疑ZAP可以在這種情況下使用 - 或者我錯了嗎?
你在找什麼樣的漏洞?
您的應用程序仍然需要發出http請求,所以ZAP仍然能夠測試這些請求。
我們還有一個DOM XSS掃描儀https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,您可以從ZAP市場下載。這將啓動瀏覽器來檢測DOM XSS漏洞。
也很開心寫更多的客戶端的規則,只要告訴我們你在找什麼...
如果ASCAN將訪問http://contosco.com#/page1 - 除非ASCAN理解的JavaScript(它目前沒有),它不會加載正確的html視圖,因此它無法驗證可能的XSS漏洞。 –
DOM XSS掃描器啓動瀏覽器,_does_瞭解JavaScript。我並不是說它一定會發現所有可能的XSS漏洞,但是如果你有它不能找到的例子,請告訴我們。 –