可以通过 OWASP ZAP 测试 rest-api 吗? 攻击 URL 仅适用于 GET 请求。
例如,我的 api 控制器仅使用令牌。我有 TokenController,这个控制器需要通过 JSON 数据的 POST 数据,包括密码和登录名。我可以通过 OWASP 测试这个控制器吗?
【问题讨论】:
标签: rest api testing owasp zap
可以使用 OWASP ZAP 自动化 API 测试,但要执行测试,我看到两个选项: 提供一些使用模式,例如 OpenAPI for ZAP 考虑提取信息。第二种选择是运行自动化测试以将 ZAP 捕获为被动扫描信息,然后您可以测试会话信息。
我们建议使用 OpenAPI 文档。 黄瓜测试如下所示:
Feature: Security
This feature is to test pokemon service security
Scenario: Validate passive and active scan
Given I import context from open API specification "/v2/api-docs"
And I remove alerts
| url |
| http://.*/v2/api-docs* |
And I import scan policy "javaclean" from file "javaclean.policy"
When I run active scan
And I generate security test HTML report with name "java-clean-security-report"
Then the number of risks per category should not be greater than
| low | medium | high | informational |
| 0 | 0 | 0 | 0 |
我正在为 ZAP 开发步骤,在 GitHub 中查看:https://github.com/osvaldjr/easy-cucumber/wiki/Security-steps
导入 OpenAPI 文档的示例步骤:
@Given("^I import context from open API specification \"([^\"]*)\"$")
public void iImportContextFromOpenAPISpecification(String path)
throws ClientApiException, InterruptedException {
String url = getTargetUrl() + path;
log.info("Import Open API from url: " + url);
zapProxyApi.openapi.importUrl(url, null);
waitPassiveScanRunning();
verifyThatTheProxyHasCapturedHostInformation();
}
【讨论】:
简短的回答是肯定的。长答案 - 这很复杂:)
测试 REST API 比测试 Web API 更难一些——你必须提供关于你的 API 的 Zap 信息——它有哪些端点、参数等。你能分享更多关于你的 API 的信息吗?它有 OpenAPI/Swagger 文档吗?你有现有的测试吗?您可以使用其中任何一种来完成此任务。
我讲了如何实现这一点 - 你可以找到录音here。
【讨论】: