1

您好,我正在使用 OWASP ZAP 2.41(目前是最新版本),我想在基于 JSON 的 POST 中对参数进行模糊测试。

该字段首先插入到 HTML 表单中,但它是用 javascript 加密的,就请求而言,我可以用 ZAP 更改的是加密字段。

我想要的是使用非加密值的蛮力。

我不得不说我可以访问加密字段的 javascript。

有谁知道如何执行此操作?非常感谢。

4

1 回答 1

1

您可以使用有效负载处理器脚本来加密应用程序的有效负载。有提供有关脚本的更多信息的模板,这里有一个 python 示例:https ://github.com/zaproxy/community-scripts/tree/master/payloadprocessor

如果您想出任何可重用的东西,您可以将其提交给 ZAP 脚本竞赛:https ://www.owasp.org/index.php/2015-08-ZAP-ScriptingCompetition

于 2015-08-14T12:45:11.793 回答