我有一个单页应用程序(使用AngularJS作为前端和RESTful WebAPI作为后端)。
SPA通常采用客户端路由设计,即典型的“页面”看起来像是:
我知道 ZAP 有“ajax spidering”模式,可以从 Javascript 中获取 URL。然而,主动扫描只是进行 HTTP 请求,所以我怀疑在这种情况下 ZAP 是否可用,或者我错了吗?
1个回答
1
你在寻找什么样的漏洞?
你的应用程序仍然需要进行http请求,因此ZAP仍然能够测试这些请求。
我们还有一个DOM XSS扫描器https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,你可以从ZAP Marketplace下载。这将启动一个浏览器来检测DOM XSS漏洞。
我们也非常乐意编写更多的客户端规则,只需告诉我们你要寻找什么...
- Simon Bennetts
5
如果ascan将会访问http://contosco.com#/page1 - 除非ascan能够理解JavaScript(目前它不能),否则它无法加载正确的HTML视图,因此无法验证可能存在的XSS漏洞。 - Ondrej Svejdar
DOM XSS扫描器会启动一个浏览器,它_确实_能够理解JavaScript。我不是说它一定能找到所有可能的XSS漏洞,但如果您有它无法发现的例子,请告诉我们。 - Simon Bennetts
所以你在使用一个免费开源工具时遇到了问题,然后你决定在一个四年前的stackoverflow帖子上与其中一位维护者争吵?有趣的做法,但我并不推荐这样做,不过你可以自行决定。 - Simon Bennetts
@SimonBennetts - 我在这里收到了最近活动的通知 - 我认为它归结为请求为单页面应用程序爬行提供第一方体验 - 即蜘蛛应该爬行客户端路由图并将其保持。因此,当我像<a href="contosco.com#menu">和<a href="contosco.com#profile">这样的html被持久化时,在测试浏览器加载这样的url时,等待SPA JavaScript呈现内容,然后测试html。你认为在github上提出这个问题有意义吗? - Ondrej Svejdar
1不需要,我们很清楚这个限制,并计划在有足够时间时加以解决 :) - Simon Bennetts
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 6 Gmail是单页应用程序吗?
- 3 单页应用程序和CSRF
- 3 翻译单页应用程序
- 215 单页应用程序:优缺点
- 5 单页应用程序或多页应用程序?
- 5 从零开始创建单页应用程序
- 16 单页应用程序身份验证
- 3 单页应用程序没有URL
- 4 什么是单页应用程序?
- 14 单页应用程序路由