ZAP 可以用于 SPA 应用吗

Posted 2023-02-19

【中文标题】ZAP 可以用于 SPA 应用吗

【英文标题】：Can ZAP be used for SPA application

【发布时间】：2016-12-25 12:49:01

【问题描述】：

我有一个 SPA 应用程序（angularjs 前端/restfull WebAPI 后端）。 SPA 是使用客户端路由设计的 - 即典型的“页面”看起来像

http://contosco.com#/page1

http://contosco.com#/page2

..等等

我知道 ZAP 有“ajax spidering”模式，它可以“从 javascript”获取 url。然而，主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以在这种情况下使用 - 还是我错了？

【参考方案1】：

您在寻找什么样的漏洞？

您的应用程序仍然必须发出 http 请求，因此 ZAP 仍然能够测试这些请求。

我们还有一个 DOM XSS 扫描器https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss，您可以从 ZAP Marketplace 下载它。这将启动一个浏览器来检测 DOM XSS 漏洞。

也很高兴编写更多客户端规则，只需告诉我们您在寻找什么......

【讨论】：

如果 ascan 将命中 contosco.com#/page1 - 除非 ascan 理解 javascript（它目前不理解）它不会加载正确的 html 视图，因此它无法验证可能的 XSS 漏洞。

DOM XSS 扫描器会启动一个浏览器，该浏览器确实理解 javascript。我并不是说它一定会找到所有可能的 XSS 漏洞，但是如果您有无法找到的示例，请告诉我们。

所以您在使用免费和开源工具时遇到了问题，并且您已经决定最好的方法是在 4 年前的 *** 线程上与其中一位维护者相处融洽？有趣的方法，不是我真正推荐的方法，而是 YMMV

@SimonBennetts - 从最近的活动中得到通知 - 我认为它本质上归结为请求拥有 SPA 爬行的第一方经验 - 即蜘蛛应该爬行客户端路线图并坚持它们。因此，当我确实有像 和 这样的 html 时，应该保留这些链接；在测试浏览器时应该加载这样的 url；等待 SPA javascript 呈现内容，然后测试 html。你认为在 github 上提出这个有意义吗？

不需要，我们很清楚这个限制，并计划在我们有足够的时间时解决它:)