您好,我正在使用 OWASP ZAP 2.41(目前是最新版本),我想在基于 JSON 的 POST 中对参数进行模糊测试。
该字段首先插入到 HTML 表单中,但它是用 javascript 加密的,就请求而言,我可以用 ZAP 更改的是加密字段。
我想要的是使用非加密值的蛮力。
我不得不说我可以访问加密字段的 javascript。
有谁知道如何执行此操作?非常感谢。
您好,我正在使用 OWASP ZAP 2.41(目前是最新版本),我想在基于 JSON 的 POST 中对参数进行模糊测试。
该字段首先插入到 HTML 表单中,但它是用 javascript 加密的,就请求而言,我可以用 ZAP 更改的是加密字段。
我想要的是使用非加密值的蛮力。
我不得不说我可以访问加密字段的 javascript。
有谁知道如何执行此操作?非常感谢。
您可以使用有效负载处理器脚本来加密应用程序的有效负载。有提供有关脚本的更多信息的模板,这里有一个 python 示例:https ://github.com/zaproxy/community-scripts/tree/master/payloadprocessor
如果您想出任何可重用的东西,您可以将其提交给 ZAP 脚本竞赛:https ://www.owasp.org/index.php/2015-08-ZAP-ScriptingCompetition