ZAP漏洞扫描系列04:手动导入请求添加站点

ZAP漏洞扫描系列04:手动导入请求添加站点

通过请求器 “曲线救国” 添加站点，可按以下步骤操作（本质是手动发请求让 ZAP 识别站点）：

GET请求

步骤 1：在请求器构造目标站点请求

1. 在请求器的 “请求” 编辑框，替换默认内容为：

2. 点击 “发送（Send）” 按钮，ZAP 会向 http://10.1.1.xx:8081/ 发请求。

GET http://10.1.1.xx:8081/ HTTP/1.1
host: 10.1.1.xx:8081
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

GET请求步骤 2：确认站点添加

发送请求后：

• 查看左侧 “站点” 面板，若出现 http://10.1.1.xx:8081/ 的节点，说明站点已添加成功。
• 后续可继续在该节点上右键，执行 Spider、主动扫描等操作。

POST请求

步骤 1：在请求器构造目标站点请求

1. 在请求器的 “请求” 编辑框，替换默认内容为：

2. 点击 “发送（Send）” 按钮，ZAP 会向http://10.1.1.xx:8081/xxx/login 发请求。

POST https://10.1.1.xx:8081/xxx/login HTTP/1.1
host: 10.1.1.xxx
Content-Type: application/json;charset=UTF-8
Referer: https://10.1.1.xxx/

{"username":"xxx","password":"xxx"}

GET请求步骤 2：确认站点添加

发送请求后：

• 查看左侧 “站点” 面板，若出现 http://10.1.1.xx:8081/xxx/login 的节点，说明站点已添加成功。
• 后续可继续在该节点上右键，执行 Spider、主动扫描等操作。

关键说明：请求器的定位

请求器更适合 调试单个接口（如改参数测注入、验证响应），而非批量添加站点。若要高效添加站点，仍推荐 浏览器代理抓包法（让 ZAP 自动捕获全站请求，生成完整站点树）。

简单说：用请求器发一次请求能 “强制” 添加站点，但想扫描全站，建议搭配浏览器代理，让 ZAP 自动爬取所有页面链接～