コールバックオプション

コールバックオプション画面では、攻撃者がリモートURLを呼び出せるような脆弱性の検出に使用されるアドレスを設定できます。
以前のバージョンでは、この目的のためにZAP APIが使用されていましたが、2.6.0以降では、ターゲットシステムがAPIへのアクセスを必要としないように、別のエンドポイントが使用されます。

ローカルアドレス (例: 0.0.0.0)

ZAPが着信接続をリッスンするローカルアドレスです。 デフォルト値の '0.0.0.0' は、ZAPが利用可能なすべてのローカルアドレスでリッスンすることを意味します。

リモートアドレス

関連する攻撃で指定されるアドレスです。 このアドレスは、ターゲットシステムからアクセス可能である必要があります。 テストURLを使用して、これが当てはまるかどうかを確認できます。

ランダムポート

デフォルトでは、ZAPは実行されるたびに異なるポートを使用します。 例えば、ファイアウォール経由でのアクセスを許可するために同じポートを使用する必要がある場合は、このオプションのチェックを外します。

指定のポート

ランダムポートオプションのチェックが外されている場合、これはZAPがリッスンするポートです。 これはZAPが使用する他のポート、たとえばプロキシ接続に使用するポートとは異なる必要があります。

テストURL

これは、リモートシステムからアクセスを試みることができるテストURLです。 テストURLへのすべてのアクセスは、INFOレベルでZAPログファイルに記録されます。 ZAP UIを使用している場合、アクセスは出力タブだけでなくOASTタブにも表示されます。

関連情報

     OAST タブ