我想检查登录页面验证的质量。那么我可以使用 OWASP zap 来实现这一点吗?我想重新识别弱密码以及弱会话令牌、错误消息等的生成。在 Zed 攻击代理中是否可能
user8795416
问问题
1041 次
2 回答
1
您可以通过 TokenGen 插件对会话令牌(等)进行分析。
您可以通过 ZAP Marketplace 添加它:
添加后,右键单击要生成/分析令牌的请求/响应(在站点树或历史选项卡中),然后选择“生成令牌...”。指定您关心的 URL、Form 或 Cookie 参数。ZAP 将收集代币并提供分析。
更多帮助内容可在此处获得:
于 2017-12-13T00:42:22.933 回答
0
您可以对其中一些事情使用 Zap被动扫描。如果您分享有关您的设置的更多信息,我可以帮助您将 Zap 添加到您的 CI。
请注意,Zap 无法帮助您配置密码策略。在生产环境中运行 Zap 并不是一个好习惯。所以我不会用它来测试实时用户密码质量。
于 2017-12-07T11:31:59.600 回答