Как мы можем сделать VAPT, используя OWASP ZAP в микросервисах?

Question

Я прошел OWASP ZAP и обнаружил, что ZAP требует конечной точки веб-приложения. Но все же я попытался предоставить URL REST API наших микросервисов, но получал ошибку 404. Я думаю, что OWASP ZAP сканирует метод HTTP GET и не разрешает метод POST или иное.

Ниже приведен скриншот ZAP: Ссылка на скриншот ZAP

Я знаю, что есть пост, связанный с тестированием API остальных, но этот пост мне не был полностью ясен и также не был связан с микросервисами. Пожалуйста, порекомендуйте любое лучшее программное обеспечение с открытым исходным кодом и способ, которым мы можем легко сделать наш тест VAPT.

Спасибо

Answer 1

Опция ZAP Quick Start поддерживает только GET-запросы, но вы можете легко отправлять POST-запросы, используя диалог ручного запроса. С API основная проблема в том, как их обнаружить. Связана ли эта конечная точка со всеми остальными конечными точками API?