ZAP versteht API-Formate wie JSON und XML und kann daher zum Scannen von APIs verwendet werden. Das Problem ist in der Regel, wie man die APIs effektiv scannen und testen kann.
Dazu gibt es verschiedene Möglichkeiten:
- Wenn eine API eine OpenAPI/Swagger-Definition hat, könnt ihr sie mit dem OpenAPI-Add-on innerhalb von Owasp ZAP importieren.
- Wenn eine API GraphQL verwendet, könnt ihr sie mit dem GraphQL-Add-on innerhalb von Owasp ZAP scannen und testen.
- Wenn eure API über eine WSDL verfügt, können ihr sie mit dem SOAP-Add-on innerhalb von Owasp ZAP importieren.
- Wenn ihr eine Liste von Endpunkt-URLs habt, können ihr diese mit dem Add-on Import files containing URLs innerhalb von Owasp ZAP importieren.
- Wenn ihr über Regressionstests für eure APIs verfügt, können ihr diese über ZAP Proxy durchführen.
Die Add-ons sind auf dem ZAP-Marktplatz erhältlich.
Die einzelnen Integrationen werde ich entsprechend in weiteren Artikeln darstellen.
Neueste Kommentare