Настройка OWASP Zap Spider для вывода «цепочки URL» для каждого запроса

Question

Я новичок в тестировании уязвимостей на моей новой работе в разработке сайта EC (мы также включили их и продолжаем запускать на AWS EC2).
Мне интересно, есть ли способ настроить Spider так, чтобы я мог получить выход из «цепочки URL» для обслуживания всех запросов, перечисленных при запуске php artisan route:list В настоящее время мой коллега, который присоединился к компании за несколько месяцев до этого, вручную вводит эту информацию в электронную таблицу. Ex. "Главная-> Информация о пользователе-> Подтвердить информацию о зарегистрированном пользователе-> Главная страница покупок-> Страница категории товара-> Страница описания товара-> Подтвердить добавление товара на страницу корзины-> и т. Д." Я считаю, что это очень утомительно, он тоже так делает, и, поскольку он говорит только по-японски, я не думаю, что он может задавать вопросы здесь.
Я начал просматривать документацию Zap, но пока не увидел ничего актуального. Любой совет приветствуется.

Answer 1

Вы можете активно сканировать определенные заказы операций, используя аддон Sequence: https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsSequenceSequence. Вы можете получить его через ZAP Marketplace:
Есть также дополнение к Call Graph, которое может быть полезным для вас, хотя я не знаю, какие варианты экспорта он предоставляет.

Другой альтернативой, которая может вам помочь, было бы написание автономного сценария, который просматривает дерево сайтов или таблицу истории, просматривая URL-адреса и заголовки Referer:

• https://github.com/zaproxy/community-scripts/blob/master/standalone/Traverse%20sites%20tree.js
• https://github.com/zaproxy/community-scripts/blob/master/standalone/Loop%20through%20history%20table.js