Как мы можем использовать VAPT с помощью OWASP ZAP в микросервисах?

Я прошел через OWASP ZAP и обнаружил, что ZAP требует конечной точки веб-приложения. Но все же я попытался предоставить URL-адрес REST API наших микросервисов, но получал ошибку 404. Я думаю, что OWASP ZAP сканирует метод HTTP GET и не разрешает метод POST или что-то еще.

Ниже приведен снимок экрана ZAP: Ссылка на снимок экрана ZAP

Я знаю, что есть сообщение, связанное с тестом API отдыха, но оно не было полностью ясным и также не было связано с микросервисами. Пожалуйста, порекомендуйте любое лучшее программное обеспечение с открытым исходным кодом и способ, с помощью которого мы можем легко провести наш тест VAPT.

Спасибо


spring-boot owasp penetration-testing security-testing crlf-vulnerability
person saurabh kumar 100rab    schedule 24.01.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Параметр «Быстрый запуск ZAP» поддерживает только запросы GET, но вы можете легко отправлять запросы POST с помощью диалогового окна «Запрос вручную». Основная проблема с API заключается в том, как их обнаружить. Связана ли эта конечная точка со всеми другими конечными точками API?

person Simon Bennetts    schedule 24.01.2019
comment
Нет, эта конечная точка не связана со всеми другими конечными точками API. Можете ли вы сказать мне, как я могу отправить запрос POST с помощью диалогового окна ручного запроса? - person saurabh kumar 100rab; 25.01.2019
comment
Поскольку у вас уже есть запрос GET, просто щелкните его правой кнопкой мыши в дереве истории и выберите «Открыть / повторно отправить с помощью редактора запросов ...», а затем измените все, что хотите. Чтобы создать запрос с нуля, воспользуйтесь пунктом меню «Инструменты / Редактор запросов вручную ...». Более серьезная проблема, с которой вы столкнетесь, заключается в том, как определить конечные точки. Вы тогда определили через Open API / SOAP или что-то подобное? Если нет, у вас есть тесты, использующие ваш API? - person Simon Bennetts; 28.01.2019
comment
Вы упомянули редактор запросов, и я не знаю, какой редактор запросов в инструменте OWSAP ZAP. Мои API - это RestFul, то есть формат JSON не в SOAP или открытом API. О каких тестах вы говорите? - person saurabh kumar 100rab; 05.02.2019
comment
На рабочем столе ZAP выберите меню «Инструменты», а затем выберите «Редактор запросов вручную ...», что позволит вам сделать любой запрос, который вам нравится. Если у вас нет определения конечных точек API, как ZAP их найдет? Если у вас есть модульные тесты, которые обращаются к этой конечной точке, вы можете проксировать их через ZAP, и тогда ZAP будет знать о них, если у вас нет тестов, у вас возникнут проблемы, поскольку ZAP не сможет найти конечные точки API. - person Simon Bennetts; 06.02.2019