个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
您好,我正在使用 OWASP ZAP 2.41(当前最新版本),我想模糊基于 JSON 的 POST 中的参数。
该字段首先插入到 HTML 表单中,但它是用 JavaScript 加密的,就请求而言,我可以使用 ZAP 更改加密字段。
我想要的是使用非加密值进行暴力破解。
我不得不说我可以访问加密该字段的 javascript。
有谁知道如何执行此操作?非常感谢。
最佳答案
您可以使用有效负载处理器脚本来加密应用程序的有效负载。有一些模板提供了有关脚本的更多信息,这里还有一个 python 示例:https://github.com/zaproxy/community-scripts/tree/master/payloadprocessor
如果您想出任何可重复使用的东西,您可以将其提交给 ZAP 脚本竞赛:https://www.owasp.org/index.php/2015-08-ZAP-ScriptingCompetition
关于javascript - 通过 javascript 修改 OWASP Zap Fuzz 参数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32009466/
27
4
0
我需要扫描一些仅在 HTTP 协议(protocol)上可用的 API。 假设我正在测试 http://example.com ,我确实遵循了命令 export http_proxy=localhos
我遇到了this construction在 haskell 。我找不到有关如何使用 zap 的任何示例或解释/zapWith和 bizap/bizapWith在实际代码中。它们是否与标准 zip 有
我们有一个Grails应用程序,目前正在做一些OWASP ZAP安全扫描。出现了一些反CSRF token 扫描程序警报,这很奇怪,考虑到某些URL已在参数中看到了 token 。我们已经使用CSRF
我想用分支逻辑创建一个 zap。我想这样做,因为正在使用的网关/REST API 仅支持添加一个 Web Hook 。我需要一个 Zap,它可以在假设触发器返回具有“event_type”=“alph
我正在尝试为 Open API 扫描项目设置身份验证和 http 发送器脚本。 在某个时间点,我已经达到了 oauth2 的身份验证脚本正常工作(生成从远程端点获取的有效 token )并且 http
我使用 OWASP ZAP 作为测试移动应用程序的代理工具。我想要做的是在某些 URL 上设置断点,并返回自定义响应以测试应用程序 UI 或功能。 目前,无论何时触发断点,我都必须手动让请求通过,然后
我已将 Zap 与我的 go 应用程序集成,我们将日志打印在两个日志文件中,我还使用 Lumberjack 进行日志轮换。但我也试图在控制台中显示日志,但这种情况下运气不好。以下是我在 logger.
我正在使用 zapp 在谷歌云上托管的服务上记录错误消息,我看到虽然成功记录了错误,但存储在谷歌云日志“消息”字段中的文本是堆栈跟踪,并且不是我记录的错误消息。 示例代码: var log *zap.
我正在做的是: 启动 ZAP 监听一些端口 zap.bat -daemon -host localhost -port 2355 -config api.disablekey=true 开始新 ses
我已经开始学习 OWASP ZAP,但我对 OWASP ZAP 中的被动扫描感到困惑。 右键单击站点树中的节点时,我没有看到任何被动扫描选项,但是在工具 |选项 我能够看到被动扫描规则。 如何在 OW
我编写了一个脚本(js - 遵循 Nashorn JS 引擎和 jsoup 进行解析)与 OWASP Zap 被动扫描一起使用(将脚本放在被动规则下)。现在我有一个问题,当ZAP处理请求时,它加载整个
我在运行zap docker命令时无法生成.xml报告。 他们使用zap docker生成.xml格式报告的任何方式。 这是我正在运行的.html格式的zap docker命令。 docker run
我使用 ZAP 拦截流量。 工作得很好,我有一个像这样的 REQUEST - RESPONSE 对的历史记录: ID Req. TimeStamp Meth
我目前正在尝试学习 ZeroMQ 并想为 ZAP 实现一个处理程序,以便我可以对客户端进行身份验证。我查看了 libzmq 存储库中的测试文件 test_security_curve.cpp 并注意到
我的问题是,我可以使用 OWASP ZAP 作为前端(在我的网络服务器之前)来扫描所有已完成的任务吗? 我想跟踪请求的发送方式以及用户何时利用漏洞。 我正在考虑在端口 80 设置 owasp 并将所有
我最近开始在 Hacking-Lab 上做一些练习. 在一项任务中,我想在网站上进行“主动扫描”。扫描速度相当快地达到了 100%,但随后 ZAP 工具被卡住了。除了关闭按钮之外我无法点击任何东西。但
我正在尝试使用配置的自定义编码器将相同的消息同时发送到控制台和日志文件。在此过程中,我想显示来电者信息,但即使我按照文档中的建议使用了 caller 键,也不会显示相同的信息。 下面是相同的示例代码
zap.Logger 是go语言中相对日志库中性能最高的。那么如何开始使用? 不多说直接上代码: ?
如何在 uber-zap 的 Hook 中访问有关日志记录事件的完整信息? 例如,我试图将 zapcore.Field 添加到日志记录事件中,但它没有显示在 zapcore.Entry 中。 如果不可
我目前正在尝试使用 zap 扫描 API。我从 https://editor.swagger.io/ 下载了宠物店示例并使用 spring 设置了一个服务器。现在我想用 Jenkins 构建作业扫描这
我是一名优秀的程序员,十分优秀!