【发布时间】:2020-05-28 13:57:21
【问题描述】:
我想对我的 Web 应用程序和 REST API 进行安全测试,但它们需要经过身份验证,如何将 Bearer 令牌传递给它?
【问题讨论】:
标签: security penetration-testing wapiti
【发布时间】:2020-05-28 13:57:21
【问题描述】:
您可以将其作为带有-H 标志的标头传递。所以-H 'Bearer: [token]'
【讨论】:
-
谢谢,我试过了,但它的显示仍然只扫描了 4 个 URL,我像 wapiti -u myurl/ -H 'Bearer myauthtoken' 一样通过了它
-
只是为了确保 api 托管在同一个域上吗?我假设应用程序可能需要以某种方式抓取该站点。如果应用程序是单页 JavaScript 应用程序,它可能无法找到所有 API 端点。这听起来像是一种可能性吗?通常,网络扫描仪需要有效地“爬取”应用程序以了解要扫描哪些页面。也许那部分是它在这里失败的地方?您可能还想查看 BurpSuite 之类的东西,它会在扫描之前向您显示范围内的所有 URL。