ZAP 代理在自动扫描中为站点返回 404

问题描述 投票:0回答:2

我对 ZAP 很陌生,所以我确信这里有一些明显的事情我不理解。

我有一个 React 应用程序,我正在尝试在我的公司环境中扫描它。

当我使用快速启动并指向我的网站时,我收到错误消息: 攻击 URL 失败:收到 404 响应代码,预计为 2xx

如果我使用手动扫描选项,我可以看到该站点,我还可以获得 HUD 并且可以(据我所知)执行任何任务。

我检查了 ZAP.log 文件,没有发现任何问题。 我正在跑步:

  • Linux Ubuntu 22.04.3 盒子
  • Java 21.0.2
  • ZAP 2.14.0
  • 我的网络上没有代理
  • 我正在测试的网站有一个自签名证书
  • 我可以毫无问题地 SSLPoke 网站
  • 仅安装了一个Java版本
  • Firefox 认为该网站是安全的
  • 我已经安装了 snap install 之外的 Firefox 版本
  • 我已将 Selenium 选项设置为指向此版本的 Firefox
  • 我已将此浏览器的代理设置为 localhost:8080 包括 SSL 站点
  • 在“工具”->“选项”->“网络”->“连接”中,我尝试启用不安全的 SSL/TLS 协商
  • 所测试的网站运行在k8s集群中,可以通过Firefox查看该网站,没有问题
  • 我已阅读有关在企业环境中连接的文档以及有关使用自签名证书的常见问题解答,但无济于事。

有人能指出我正确的方向吗?

zap
2个回答
0
投票

404 响应意味着找不到页面:https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/404 如果您指定的 URL 是 404,则 ZAP 快速启动扫描将不会运行,因为它通常没那么有用。 尝试在浏览器中打开该 URL - 它会向您显示什么? 您仍然可以针对返回 404 的 URL 运行 ZAP 蜘蛛,然后运行活动扫描程序...

0
投票

我相信我已经找到了罪魁祸首。还不知道为什么,但 VITE React 站点在实际加载站点之前返回 404。 ZAP 首先到达 404,然后不再继续。我提示,如果第一个响应不是 404,那么扫描就可以了。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.