WSTG-INFO-07

通過應用程序映射執行路徑

要了解Web應用程式的整個範圍,才能增加測試的覆蓋率,因為測試人員不知道

程式寫了那些內容,就像一個網站中有多少個頁面,頁面提供什麼服務,在一般狀況下是無法知道的,所以幾種方式來發現和測試,不過蠻抽象的,沒有操作過其實也不知道在說什麼

這裡提供了OWASP的測試工具ZAP,自動找出網站程式路徑

列表、繪圖工具,這是要人工記錄

ZAP可以分成兩種使用方式

1.滲透測試,找出網站所有的path進行檢查

2.browser proxy 要安裝可以看這篇,連https的網站要先產生憑證、匯入browser

和burp suite Fildder一樣可以抓到連線的內容

1.Tools > Options 切換語言成英文,比較容易閱讀

2.調整字型大小,預設字很小,不容易看

3.設定中斷點,分成request & response兩種,更容易查看

最後修改日期: 02/12/2020

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。