gpt4 book ai didi

OWASP ZAP 和 Fuzz 能力

转载 作者:行者123 更新时间:2023-12-02 16:44:49 38 4
gpt4 key购买 nike

我的场景:

我导航到登录页面。我输入了一个已知的用户名和一个错误的密码。ZAP 没有发现任何问题。

我选择 POST 到登录页面。我找到包含用户名和密码的行。密码:ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&

我突出显示 12345 并右键单击以选择 Fuzz。我已经放入了一个自定义列表,其中包含测试帐户的正确密码,然后我选择了该列表。

当我这样做时,它会按照我的预期在列表中工作。将 12345 更改为列表中的各个选项。

但是,当它到达“我知道”这个词时,就是正确的密码。它没有什么不同来提醒我它是正确的。本例中的密码是Password5。我预计它会反射(reflect)或显示它被定向到新页面。但是,“密码”会发生这种情况,这对于测试用户来说不正确。

我在模糊器选项卡中看到了这一点: enter image description here

最佳答案

好的,我认为您提出的第一点是 ZAP 不会发现您尝试过无效的密码。这不是安全风险 - 您提供了错误的密码,应用程序不允许您进入。一切都按预期运行。

ZAP 只会通过主动或被动扫描器向您发出漏洞警报。模糊器用于手动测试。如果我们找到一种自动检测漏洞的方法,那么我们会将其放入主动或被动扫描仪中:)因此,您必须解释模糊器结果,而不是期望 ZAP 为您做这件事。无论如何,成功登录并不是漏洞(用 ZAP 术语来说)。

模糊器会告诉您的是您提供的字符串是否包含在响应中(这在查找 XSS 时很有用)、响应代码、花费的时间和响应长度。

登录时,我预计响应长度会明显不同,因此一种选择是查找长度与其他响应显着不同的响应。

然而,最简单的选择可能是搜索模糊结果。为此,请转到“搜索”选项卡,在下拉菜单中选择“模糊结果”,然后搜索您知道在成功登录时将显示的字符串,或者进行反向搜索以查找您知道将显示的字符串当您登录失败时。

这有帮助吗?

请注意,我们在 ZAP wiki 上确实有大量信息,包括视频、常见问题解答等等:http://code.google.com/p/zaproxy/wiki/Introduction

顺便说一句,我们确实有一个 ZAP 用户组,专门用于解决此类问题:http://groups.google.com/group/zaproxy-users您还可以通过 ZAP“在线/ZAP 用户组”菜单项访问它。我尝试关注论坛,但论坛太多,有些问题肯定会被忽略。

如果有人可以建议我如何说服人们使用 ZAP 用户组(所有 ZAP 开发人员都订阅)而不是像这样的通用论坛(这对于其他问题非常有用),那么我将非常感激:)

西蒙(ZAP 项目负责人)

关于OWASP ZAP 和 Fuzz 能力,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20845226/

38 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com