Ok, jak wspominałem ZAPa poznałem baardzo powierzchownie, ale skoro już w pierwszym poście zostałem ustawiony pod ścianą wywołany do tablicy...
Jeśli chodzi o testowanie bezpośrednio frontu to tak średnio, bo ZAP majstruje przy żądaniach HTTP - może widzieć, że da się wstawić do inputu w żądaniu np. alert(...)
i serwer to przepuści, ale nie zweryfikuje ot tak że pewien kawałek JS na froncie pobierając te dane z backendu wykona je i wyświetli się alert. Z tego wpisu wynika, że niby mogłoby się dać coś pokombinować frontend trackerem, ale byłoby z tym trochę roboty i nie jestem do końca pewien, czy osiągniesz tym to, co chciałeś.
Co mi przychodzi do głowy w kwestii łapania niebezpiecznych kawałków kodu na froncie, to np. coś pokroju Checkmarx, o ile wspiera frontend i JS - nie jest to narzędzie do pentestów, a jedynie analizuje kod, ale w teorii pozwala wyłapać część potencjalnych dziur prowadzących do np. XSS. Może coś Ci wpadnie w oko z tej listy od OWASP
Tak czy owak, i tak powinieneś również zabezpieczyć backend - choćby dlatego, że front można zmodyfikować lub zwyczajnie wysłać żądania z niefajnymi rzeczami przez partyzantkę w curl
, Postman
itp.