我希望提高 ZAP 扫描的准确性和置信度。它正在攻击具有以下示例结构的站点:
<URL>/api/people/<adultName>/children/<childName>在此示例中,childName 的有效数据显然依赖于 AdultName。使用 ZAP 攻击时,生成的唯一 URL 是以下变体:
localhost/api/people/adultName/children/childName如果我可以提供 AdultName/childName 的 ZAP 工作示例,那么它就可以在数据正确时测试场景,即绕过基于 400 的错误代码并测试应用程序的其他部分,这将是理想的选择。
我可以将路径标记为 DDN,但似乎没有办法提供测试数据来配合它。使用登录凭据,您可以提供显式的用户名/密码组合,但奇怪的是我不能使用其他基于 URL 的数据。我错过了什么?
有一种简单的方法可以为 ZAP 提供测试数据,只需通过 ZAP 代理带有该数据的请求:) 如果您拥有 ZAP,您可以通过 ZAP 代理单元测试 - 它们通常是测试数据的良好来源。