- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我的场景:
我导航到登录页面。我输入了一个已知的用户名和一个错误的密码。ZAP 没有发现任何问题。
我选择 POST 到登录页面。我找到包含用户名和密码的行。密码:ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&
我突出显示 12345 并右键单击以选择 Fuzz。我已经放入了一个自定义列表,其中包含测试帐户的正确密码,然后我选择了该列表。
当我这样做时,它会按照我的预期在列表中工作。将 12345 更改为列表中的各个选项。
但是,当它到达“我知道”这个词时,就是正确的密码。它没有什么不同来提醒我它是正确的。本例中的密码是Password5。我预计它会反射(reflect)或显示它被定向到新页面。但是,“密码”会发生这种情况,这对于测试用户来说不正确。
我在模糊器选项卡中看到了这一点:
最佳答案
好的,我认为您提出的第一点是 ZAP 不会发现您尝试过无效的密码。这不是安全风险 - 您提供了错误的密码,应用程序不允许您进入。一切都按预期运行。
ZAP 只会通过主动或被动扫描器向您发出漏洞警报。模糊器用于手动测试。如果我们找到一种自动检测漏洞的方法,那么我们会将其放入主动或被动扫描仪中:)因此,您必须解释模糊器结果,而不是期望 ZAP 为您做这件事。无论如何,成功登录并不是漏洞(用 ZAP 术语来说)。
模糊器会告诉您的是您提供的字符串是否包含在响应中(这在查找 XSS 时很有用)、响应代码、花费的时间和响应长度。
登录时,我预计响应长度会明显不同,因此一种选择是查找长度与其他响应显着不同的响应。
然而,最简单的选择可能是搜索模糊结果。为此,请转到“搜索”选项卡,在下拉菜单中选择“模糊结果”,然后搜索您知道在成功登录时将显示的字符串,或者进行反向搜索以查找您知道将显示的字符串当您登录失败时。
这有帮助吗?
请注意,我们在 ZAP wiki 上确实有大量信息,包括视频、常见问题解答等等:http://code.google.com/p/zaproxy/wiki/Introduction
顺便说一句,我们确实有一个 ZAP 用户组,专门用于解决此类问题:http://groups.google.com/group/zaproxy-users您还可以通过 ZAP“在线/ZAP 用户组”菜单项访问它。我尝试关注论坛,但论坛太多,有些问题肯定会被忽略。
如果有人可以建议我如何说服人们使用 ZAP 用户组(所有 ZAP 开发人员都订阅)而不是像这样的通用论坛(这对于其他问题非常有用),那么我将非常感激:)
西蒙(ZAP 项目负责人)
关于OWASP ZAP 和 Fuzz 能力,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20845226/
我已经开始学习 OWASP ZAP,但我对 OWASP ZAP 中的被动扫描感到困惑。 右键单击站点树中的节点时,我没有看到任何被动扫描选项,但是在工具 |选项 我能够看到被动扫描规则。 如何在 OW
我不想从桌面应用程序使用它。我需要可以在网络上运行的软件。 我想在服务器上使用它。想要使用 ZAP 的人员需要通过连接到该服务器来完成此操作。 我只能运行桌面应用程序 最佳答案 我们为此制定了计划,也
我的桌面上运行着 docker 应用程序,并且桌面上也运行着 OWASP zap。我将如何配置 OWASP ZAP,以便任何发出的请求都会被拦截并在响应进入 docker 应用程序之前被修改。 最佳答
我正在 portswigger 上进行身份验证实验室,这需要我比较多个 HTTP 请求并找到它们之间的细微差别,以便找到有效的用户名。但是,我不知道如何使用 OWASP ZAP 来执行此操作。有人可以
我现在正在寻找 html 净化器库。而且我发现有两个“owasp”库。首先是 https://code.google.com/p/owasp-java-html-sanitizer/第二个是https
我知道,我们可以使用encodeForHTML来处理HTMl,使用encodeForJavascript来处理javaScript。我的代码中有一个跨站点脚本:“Reflected fortify s
开放式Web应用程序安全性项目 Promotes secure software development Oriented to the delivery of web oriented servic
我必须检查我的端点 REST POST 是否存在漏洞。 我是第一次使用 owasp zap。 如果我尝试检查我的端点是 REST POST 只是在 owasp zap 的表单中插入 url,它会给我一
我们开发了很多代码,不幸的是,其中一些代码可能不合规,并且可能存在符合 OWASP 前十名的安全漏洞。有没有人对自动代码审查工具有任何指导,这些工具将专门检查 OWASP 漏洞,例如 sql 注入(i
我正在做的是: 启动 ZAP 监听一些端口 zap.bat -daemon -host localhost -port 2355 -config api.disablekey=true 开始新 ses
在 OWASP site 上看到这个矛盾,我感到很困惑。 CORS 备忘单: 使用 Access-Control-Allow-Credentials: true 响应 header 时要特别小心。将允
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 7 年前。 Improve this ques
我编写了一个脚本(js - 遵循 Nashorn JS 引擎和 jsoup 进行解析)与 OWASP Zap 被动扫描一起使用(将脚本放在被动规则下)。现在我有一个问题,当ZAP处理请求时,它加载整个
由于 GitHub 和 Twitter 最近出现问题: GitHub Accidentally Recorded Some Plaintext Passwords in Its Internal Lo
为了逃避跨站点脚本攻击,我必须清理 html内容。以前我使用 Esapi 编码器规范化如下: ESAPI.encoder().canonicalize(content); 这个项目的最后一次更新是在
除了 OWASP XSS 过滤软件之外,还有其他方法可以防止 XSS 攻击吗?如果可以在 apache 级别进行阻止,我需要建议。我不是安全专家,因此需要详细信息。感谢您的帮助 最佳答案 当数据向最终
自 2010 年以来 OWASP 前 10 名项目是否没有更新? 在 OWASP 上查看了以下站点后,我可以看到可能是这种情况:https://www.owasp.org/index.php/Cate
我的问题是,我可以使用 OWASP ZAP 作为前端(在我的网络服务器之前)来扫描所有已完成的任务吗? 我想跟踪请求的发送方式以及用户何时利用漏洞。 我正在考虑在端口 80 设置 owasp 并将所有
我最近开始在 Hacking-Lab 上做一些练习. 在一项任务中,我想在网站上进行“主动扫描”。扫描速度相当快地达到了 100%,但随后 ZAP 工具被卡住了。除了关闭按钮之外我无法点击任何东西。但
如果您使用 ASP.NET 表单例份验证,您可能熟悉像这样的 URL: https://Example.com/Banking/login.aspx?ReturnUrl=%2fBanking%2fBa
我是一名优秀的程序员,十分优秀!