用OWASP测试兔MQ

Question

我们目前使用的是测试OWASP Zap。相应地集成到Jenkins管道中，执行每周一次的漏洞测试。

我们现在已经将RabbitMQ集成到我们的项目中，在这里，我们不知道如何用OWASP测试RabbitMQ消息。

不幸的是，这方面几乎没有任何信息，OWASP Zap的文档在这方面也没有多大帮助。

你们中有谁有这方面的经验吗？

Answer 1

RabbitMQ是web应用程序的一部分，我认为ZAP并不是用来作为web应用程序各部分之间的安全扫描的。它侧重于浏览器和web应用程序之间的流量。我认为浏览器不直接与RabbitMQ通信。想知道你是否在寻找正确的工具。

ZAP的核心是所谓的“中间人代理”。它位于测试者的浏览器和web应用程序之间，以便能够拦截和检查浏览器和web应用程序之间发送的消息，在需要时修改内容，然后将这些数据包转发到目的地。它可以用作独立的应用程序，也可以用作守护进程。

https://www.zaproxy.org/getting-started/