配置 OWASP Zap Spider 以输出每个请求的“URL 链”

Question

我在 EC 站点开发的新工作中对漏洞测试不熟悉（我们也启动它们并继续在 AWS EC2 上运行它们）。
我想知道是否有一种方法可以配置 Spider，以便我可以获得“URL 链”的输出，以服务在我运行 php artisan route:list 时列出的所有请求 目前，比我早几个月加入公司的同事正在手动将这些信息输入到电子表格中。 前任。 “首页->注册用户信息->确认注册用户信息->主购物页面->商品分类页面->商品描述页面->确认添加商品到购物车页面->等。” 我觉得这非常乏味，他也一样，而且因为他只会说日语，所以我认为他不能在这里发布问题。
我已经开始浏览 Zap 文档，但还没有看到任何相关的内容。任何建议表示赞赏。

Answer 1

您可以利用序列插件主动扫描特定的操作顺序：https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsSequenceSequence。您可以通过 ZAP 市场获得它：
还有一个调用图插件可能对你有好处，虽然我不知道它提供了哪些导出选项。

另一种可能对您有用的方法是编写一个独立脚本，该脚本通过站点树或历史记录表查看 URL 和引用标头：

• https://github.com/zaproxy/community-scripts/blob/master/standalone/Traverse%20sites%20tree.js
• https://github.com/zaproxy/community-scripts/blob/master/standalone/Loop%20through%20history%20table.js