我們之前有介紹過 ZAP 這款開源的弱點掃描軟體,ZAP 是屬於黑箱測試,我們需要提供他 URL 來做程式碼的弱點測試。
但馬上就會遇到一個問題 – 權限驗證。
我相信大部分的系統都會有登入的功能,但總不可能因為這是需要登入的功能就不需要進行弱掃吧?
甚至你整個系統基本上要登入後才進行,就會發現 ZAP 取得了整排的 401 或 403。
事實上 ZAP 也提供了登入驗證的設定,基本上就是你提供登入的資訊,比如帳密或是 Token,ZAP 會使用你提供的帳密取得權限後,來進行弱掃。
我們會從建立 API 開始說明,到使用 ZAP 成功掃描到有驗證保護的 API。