为什么要花很长时间才能筛选应用程序？

Question

用10分钟的时间来确保应用程序的安全性是正常的吗？是在登录后还是在登录之前进行爬行？

基本上，我们有一个web应用程序，我们需要对其进行自动化的安全测试。它是4-5页的简单web应用程序。当我试图为一个简单的身份验证场景运行一个测试时，需要10分钟来筛选应用程序，然后运行测试。这是正常的吗？因为如果每次测试都要花这么长时间，那就浪费时间了。

对于我问题的第二部分，现在爬行实际上是爬过基url并找到隐藏的底层url。如果应用程序需要登录，那么爬行是否有效？

编辑:这是一个基于春天的web应用程序。蜘蛛工具是OWASP。

Answer 1

首先，使用pen测试，您将希望确保应用程序的所有方面都经过测试。这包括身份验证登录和非身份验证登录。如果您只是在应用程序中添加以查找所有URL，则登录并尝试，因为这将确保成功地连接到所有URL。如果您是通过在每个URL上添加和运行额外的测试来进行笔式测试，那么您将希望同时进行经过验证和未经验证的测试，以确保每个测试的行为方式都是它应该做的。

弹簧产生的东西是基于它的设置方式，因此可能有一个比表面看起来更大的结构。这可能会增加蜘蛛的时间，因为蜘蛛将反向工程呈现的结构，以定位所有可能存在的URL路径。当蜘蛛发现隐藏的东西时，它将沿着每一条可能的路径在应用程序中找到URL。这需要时间和10分钟。虽然很长，但通过ZAP似乎是合理的，这取决于同时运行的是什么。必须找到URL，确定是否可行，并对这些URL执行许多检查，这需要对每个URL的握手检查进行网络通信。我对ZAP设置并不乐观，但您可能可以调整一些设置，只检查一些东西，而不是任何默认设置。如果对一个URL进行了3次检查，并且握手需要5秒。现在你可能在15秒。每个URL。

根据我在这个问题中所读到的内容，您可能需要对应用程序进行性能改进。但是，这确实取决于具体情况，如果爬行器在spring拱形URL设置上花费的时间较长，而不是面向GUI的用户，那么这种性能影响很可能永远不会影响用户体验。

此外，考虑在无头模式下运行蜘蛛，以获取GUI呈现时间并加快处理速度。如果这个部分使它变得更快，那么您也可能希望在GUI呈现中提高性能。