问题标签 [zap]

我的场景：

我导航到登录页面。我输入了一个密码错误的已知用户名。ZAP 没有任何问题。

我选择 POST 到登录页面。我找到包含用户名和密码的行。密码：ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&

我突出显示 12345 并右键单击以选择 Fuzz。我已经为测试帐户输入了一个包含正确密码的自定义列表，然后我选择了它。

当我这样做时，它会按照我的预期在列表中运行。将 12345 更改为列表中的各种选项。

但是，当我知道这个词是正确的密码时。提醒我它是正确的并没有什么不同。在这种情况下，密码是 Password5。我希望它会反映或显示它被定向到新页面。但是，对于测试用户来说不正确的“密码”会发生这种情况。

我在 Fuzzer 选项卡中看到了这个：

在对我们的应用程序运行 OWASP ZAP 扫描工具后，当该工具使用此字符串进行攻击时，我们看到了许多 XSS 漏洞：

或者

所以这样的字符串会出现在服务器响应中。虽然它在浏览器中没有做任何事情。也许它试图在 Html 标签中插入额外的属性，但是如何解决这个问题呢？

我已经丢失了我的 zap 应用程序中的“快速启动”选项卡，以及我确定的其他一些选项卡。如何让这些再次显示？我不确定我首先做了什么来隐藏它们。

谢谢

我在构建服务器 (Windows 2008 R2) 和我的 Windows 7 桌面上安装了 ZAP，Zap 只是偶尔启动。我单击该程序，我的光标显示它正在等待一两秒钟，然后什么也没有。尝试从命令行运行也不会显示任何运行迹象。然后，该程序可能会突然启动。是否有可能只需要永远开始。我让我的电脑一直在运行，第二天我来上班的时候就有了 UI。如果我尝试在无头状态下运行程序，我会得到相同的结果。带有 -daemon 标志。它永远不会启动，它永远不会显示在任务管理器中，作为应用程序或进程

谢谢诺埃尔

我正在使用 ZAP API 调用来使用命令行测试站点。但是即使我遵循正确的步骤，我的用户身份验证也存在问题。但是当蜘蛛作为用户时，我仍然无法通过登录页面。以下是我正在执行的步骤。

1.包含在上下文中（context/includeContext）

2.将认证方式改为formBased。(authentication/setAutenticationMethod) 这里我只传递 contextID、authMethodName 并且在 authMethodConfigParams 中只传递 logiunUrl。不是登录请求数据。我试图将 authMethodConfigParams 作为

loginUrl=**********************&loginRequestData=username={%username%}&password={%password%}

但是当我使用它时，该字段没有填满。

3.设置登录指标（authentication/setLoggedInIndicator）

4.启用自动重新认证（auth/autoReauthON）

5.添加新用户（users/nweUser）

6.为用户设置凭据（users/setAuthenticationCredentials）

7.启用用户（users/setUserEnabled）

8.Spider作为新用户（spider/scanAsUser）

但在爬虫中，它无法通过登录页面。当我打开 UI 应用程序时，所有 API 调用都已工作，并且所有设置都已在会话属性上配置。但是当我检查 POST 请求时，它如下所示。

我认为这是问题所在。为什么不采用新用户凭据？

提前致谢

我们使用 Shibboleth 的 SingleSingOut(SSO) 进行身份验证。Shibboleth 是一个开源项目，已集成到我们的项目中。Shibboleth 将重定向到 login.jsp 页面，如果用户还没有通过身份验证。现在我们已经定制了 login.jsp 页面来支持本地化。因此，Shibboleth IDP(Identity Provider) 必须发送表单 actionUrl 以执行身份验证。以下是 Shibboleth 提供的示例代码：

现在我已经使用了 OWASP ZAP 工具来检查安全攻击。它在以下代码中引发了高风险

它告诉我可能存在 XSS（跨站点脚本）攻击，所以它要求我对上面的代码进行编码。

如何防止表单操作 url 的 XSS（跨站点脚本）。因为，它是一个不受信任的数据，有什么方法可以对 URL 进行编码。经过一番研究，我发现最好使用 ESAPI.encoder().encodeForURL('url'); 方法。我的疑问是，将 ESAPI.encoder().encodeForURL('url') 用于表单操作 URL 是否正确？

来自Cross_Site_Scripting 预防备忘单

实际表单操作网址：

编码表单操作网址：

任何建议，将不胜感激。

我在我的网站中发现了一个 XSS 漏洞。我正在使用 ZAP 进行漏洞扫描。"><script>alert(1);</script> 从 ZAP 我发现了一个显示字符串警报的警报。

它提到的路径是我网站的注册页面。该页面上有几个下拉菜单。

例如：在选择国家的下拉菜单中，我保留了所有国家的选项。和“未找到匹配项”用于错误的文本。

如果我想在该下拉菜单上执行 XSS，当我输入字符串时"><script>alert(1);</script>

它给出错误“未找到匹配”，

您能告诉我如何在输入字符串时成功获得警报"><script>alert(1);</script>吗？

我的浏览器上同时拥有来自 ZAP 和 BURP 的证书，并且我可以通过 SSL 网站浏览每个代理都没有问题。

现在，我使用 BURP 作为端口 9090 上的本地代理，并将流量从 BURP 重定向到 ZAP（侦听端口 8080）。

浏览非 SSL 网站时，一切正常，我在 BURP 中捕获流量并将其重定向到 ZAP，但是当我访问 SSL 网站时，会弹出一条不受信任的消息。

到底是怎么回事？我是否必须导出 BURP 证书并将其导入 ZAP（这没有意义，因为 ZAP 信任自签名证书）

如果有人遇到同样的问题并且可以对此有所了解并解决问题，我将非常感激。

先感谢您！

我的问题很简单，我想从代理中排除除这 2 个 URL 之外的所有内容，只想查看 1 个站点的流量。

http://www.timetosa.com和https://www.timetosa.com

这是我在“从代理中排除”部分插入但未成功的 REG：

我正在 SQLi 测试客户端的 Web 应用程序，为此我正在使用 OWASP ZAP。由于接收注入值的网页总是通过 JSON 响应重定向用户（HTTP 状态代码仍然是 200 OK），我正在尝试开发一个基于 jython 的脚本以使该工具向提供的 json 发出请求重定向网址。

问题是 ZAP 的内部结构文档有点混乱......我不明白我应该如何引用“脚本”选项卡中的内容。

我尝试了以下“代理”脚本：

但我得到的只是一个java.lang.reflect.UndeclaredThrowableException错误。“输出”选项卡是空的，我找不到任何其他信息。有谁知道如何解决这个问题，或者我在哪里可以找到一些其他文档或 jython 示例脚本来帮助我完成这个？