通過應用程序映射執行路徑
要了解Web應用程式的整個範圍,才能增加測試的覆蓋率,因為測試人員不知道
程式寫了那些內容,就像一個網站中有多少個頁面,頁面提供什麼服務,在一般狀況下是無法知道的,所以幾種方式來發現和測試,不過蠻抽象的,沒有操作過其實也不知道在說什麼
這裡提供了OWASP的測試工具ZAP,自動找出網站程式路徑
列表、繪圖工具,這是要人工記錄
ZAP可以分成兩種使用方式
1.滲透測試,找出網站所有的path進行檢查
2.browser proxy 要安裝可以看這篇,連https的網站要先產生憑證、匯入browser
和burp suite Fildder一樣可以抓到連線的內容
1.Tools > Options 切換語言成英文,比較容易閱讀
2.調整字型大小,預設字很小,不容易看
3.設定中斷點,分成request & response兩種,更容易查看
留言