作为安全测试的新手,我正在尝试运行基本步骤,然后尝试运行爬虫和主动扫描。我看过owasp&的几个视频,youtube并试图理解包含的 ZAP 文档。但是,我认为 ZAP 在进行蜘蛛爬行或主动扫描时并未登录。
我的是一个基于Java+Vaadin & Spring的应用程序,POST URL 在发出任何类型的请求时都不会改变。只是请求参数发生了变化。POST URL 总是
http://example.com/UIDL/?v-uiId=0
我用过
- 在运行蜘蛛/主动扫描之前,在 HTTP 会话下设置活动会话
- 已设置上下文(尽管站点下出现的 URL 很少),
- 我还尝试使用“page”、“UIDL”等字词更新结构参数,我可以在 URL 中看到这些字词
- 我也尝试排除注销 URL,但由于所有 POST URL 都是相同的,在这种情况下,蜘蛛和主动扫描实际上并没有做任何事情。
- 在右键单击时,我可以选择将请求选择为基于表单的身份验证。
我也试过了,但是,它用类似的值填充“登录请求 POST 数据”
12929ddf-5d7f-4264-b810-2fa8f38eca6f[["597","v","v",["pagelength",["i","28"]]],["597","v"," v",["firstToBeRendered",["i","0"]]],["597","v","v",["lastToBeRendered",["i","26"]]], ["597","v","v",["reqfirstrow",["i","15"]]],["597","v","v",["reqrows",[" i","12"]]]]
并用完全相同的方式填充用户名/密码字段。
最后一件事,我们真的需要禁用XSRFZAP 才能正确使用Java/Vaadin应用程序吗?
我只是想让它工作,然后从那里继续学习。如果有人可以帮助我进行正确的设置,将不胜感激。
