我已经完成了我的申请的自动扫描。不幸的是,我发现扫描后的 URL 列表中存在一些对 URI 的 GET 请求,这些请求被标记为“脱离上下文”或“超出范围”。我应该担心自己做了违法的事吗?
不,一点也不:)我们必须非常小心 ZAP 扫描,部分原因是法律原因,但也是为了我们不会尝试扫描整个互联网:) 这通常是 2 个蜘蛛在探索东西时出现的问题,主动扫描仪只会攻击您已经发现的东西。
范围通常是您启动蜘蛛的域。如果你开始爬行 https://www.example.com 那么爬虫就不会开始爬行 https://www.google.com 即使有一个链接 - 这样我们最终会尝试爬行互联网:P
您定义的上下文 - 您可以将其视为应用程序或应用程序的一部分,但它实际上只是 2 组正则表达式 - 用于包含或排除 url 的正则表达式。如果您定义了一个上下文,那么 ZAP 将不会超出它。
ZAP 不了解法律方面 - 也许您受雇于 Google,在这种情况下您可能被允许攻击 google.com,但也可能不被允许。 ZAP 不知道这一点。
我和你一样担心……在我与客户的测试中,它确实偏离了脚本。蜘蛛抓取很好,但是一旦在范围内站点上使用主动扫描,它就可以正常工作,直到进入跨站点脚本编写。那时我开始看到它拉起 Mozilla 链接、Google API 链接等。这些尝试确实使用 CSS 攻击,但现在针对的是超出范围的实体。我的 Burp Suite 没有这个问题,并且已经停止使用 OWASP ZAP。我测试此问题的最后一个版本是 2.14。