我的场景:
我导航到登录页面。我输入了一个密码错误的已知用户名。ZAP 没有任何问题。
我选择 POST 到登录页面。我找到包含用户名和密码的行。密码:ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&
我突出显示 12345 并右键单击以选择 Fuzz。我已经为测试帐户输入了一个包含正确密码的自定义列表,然后我选择了它。
当我这样做时,它会按照我的预期在列表中运行。将 12345 更改为列表中的各种选项。
但是,当我知道这个词是正确的密码时。提醒我它是正确的并没有什么不同。在这种情况下,密码是 Password5。我希望它会反映或显示它被定向到新页面。但是,对于测试用户来说不正确的“密码”会发生这种情况。
我在 Fuzzer 选项卡中看到了这个: