OWASPZAP中APIScan未能扫描Swagger-UI.html中的APIs。

在OWASP ZAP中，通过以下步骤解决API Scan不能扫描Swagger-UI.html中的APIs的问题：

1. 在ZAP中打开Swagger-UI.html页面并查看其中的API文档，确保APIs可以正常显示。
2. 确认在API扫描中已设置正确的扫描策略，包括请求生成器、自定义参数、扫描模式和漏洞扫描规则等。
3. 在ZAP中选择“工具”下拉菜单中的“选项”，然后选择“API”选项卡，在“扫描器”部分找到并启用“Swagger扫描”功能。
4. 在审计范围中选择Swagger-UI.html页面，然后运行API扫描程序。

示例代码： // 确认Swagger-UI.html页面中的APIs正常显示 $response = $client->get('/swagger-ui.html'); $this->assertSame(200, $response->getStatusCode());

// 配置正确的API扫描策略 $config = new \Zaproxy\Client\Zap\Utils\Config( [ 'generateRequests' => true, 'params' => [ 'api_key' => 'abc123', 'api_secret' => 'secret', ], 'scanMode' => 'ajax', 'rules' => [ 'XSS' => [ 'enabled' => true, ], 'SQL Injection' => [ 'enabled' => true, ], ], ] );

// 启用Swagger扫描功能 $swaggerScan = new \Zaproxy\Client\Zap\Utils\SwaggerScan(); $swaggerScan->enable();

// 选择审计范围并运行API扫描程序 $httpTarget = new \Zaproxy\Client\Zap\Utils\HttpTarget('http://example.com/swagger-ui.html'); $scanner = new \Zaproxy\Client\Zap\Utils\Scanner($httpTarget); $scanner->setConfig($config); $scanner->setPolicy('Custom Policy'); $scanner->setContext('Default Context'); $scanner->setScope('All URLs on this host'); $scanner->setTechnologies(['API']); $scanner->scan();

注：以上示例代码使用Zaproxy PHP客户端库。