¿Cómo puedo escanear WebGoat7.1 con OWASP ZAP?

0

Estoy tratando de hacer una presentación sobre cómo escanear un sitio web usando OWASP ZAP 2.7.0 y estoy tratando de usar WebGoat7.1 como objetivo para este propósito. Primero me gustaría usar el escáner AJAX para descubrir todas las páginas de lecciones para que se muestren en el árbol del sitio. Sin embargo, parece problemático debido a la estructura de las URL de la lección, ya que se encuentran en la siguiente forma:

/WebGoat/start.mvc#attack/360466308/5 /WebGoat/start.mvc#attack/125644239/700 /WebGoat/start.mvc#attack/1382523204/900 ...

Mientras navego por las lecciones, ZAP solo identifica la página de ataque en el árbol del sitio:

Mirandolassolicitudes,tienenelsiguienteformulario:

GET enlace

Entonces, supongo que debo decirle a ZAP que "Pantalla", "menú" y "etapa" (este último es opcional) definen la estructura del sitio. Sé que puedo jugar con la estructura de página definida en el menú de la estructura del contexto, pero casi no hay documentación al respecto y la documentación que he encontrado (Github de OWASP ZAP) solo habla de nodos controlados por datos en la forma enlace .

Mi pregunta es. ¿Hay alguna forma en la que pueda decirle a ZAP que la estructura de la página está definida por sus parámetros de obtención?

Gracias,

    
pregunta user1428789 19.02.2018 - 10:28
fuente

0 respuestas

Lea otras preguntas en las etiquetas