Ond*_*dar 5 owasp single-page-application zap
我有一个 SPA 应用程序(angularjs 前端/restfull WebAPI 后端)。SPA 是使用客户端路由的设计 - 即典型的“页面”看起来像
.. 等等
我知道 ZAP 具有“ajax spidering”模式,在该模式下它可以“从 javascript”获取网址。然而,主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以用于这种情况 - 还是我错了?
您正在寻找什么样的漏洞?
您的应用程序仍然需要发出 http 请求,因此 ZAP 仍然能够测试这些请求。
我们还有一个 DOM XSS 扫描程序https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,您可以从 ZAP Marketplace 下载。这将启动浏览器来检测 DOM XSS 漏洞。
也很高兴编写更多客户端规则,只需告诉我们您在寻找什么......
| 归档时间: |
|
| 查看次数: |
3117 次 |
| 最近记录: |