问题标签 [zap]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
11558 浏览

owasp - OWASP 的 ZAP 和 Fuzz 能力

我的场景:

我导航到登录页面。我输入了一个密码错误的已知用户名。ZAP 没有任何问题。

我选择 POST 到登录页面。我找到包含用户名和密码的行。密码:ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&

我突出显示 12345 并右键单击以选择 Fuzz。我已经为测试帐户输入了一个包含正确密码的自定义列表,然后我选择了它。

当我这样做时,它会按照我的预期在列表中运行。将 12345 更改为列表中的各种选项。

但是,当我知道这个词是正确的密码时。提醒我它是正确的并没有什么不同。在这种情况下,密码是 Password5。我希望它会反映或显示它被定向到新页面。但是,对于测试用户来说不正确的“密码”会发生这种情况。

我在 Fuzzer 选项卡中看到了这个: 在此处输入图像描述

0 投票
2 回答
3129 浏览

javascript - 如何解决 OWASP ZAP 报告的“alert(1);” XSS 漏洞

在对我们的应用程序运行 OWASP ZAP 扫描工具后,当该工具使用此字符串进行攻击时,我们看到了许多 XSS 漏洞:

或者

所以这样的字符串会出现在服务器响应中。虽然它在浏览器中没有做任何事情。也许它试图在 Html 标签中插入额外的属性,但是如何解决这个问题呢?

0 投票
2 回答
888 浏览

owasp - OWASP ZAP 主选项卡被隐藏

我已经丢失了我的 zap 应用程序中的“快速启动”选项卡,以及我确定的其他一些选项卡。如何让这些再次显示?我不确定我首先做了什么来隐藏它们。

谢谢

0 投票
3 回答
4381 浏览

owasp - 为什么 Zed 攻击代理 (ZAP) 无法启动

我在构建服务器 (Windows 2008 R2) 和我的 Windows 7 桌面上安装了 ZAP,Zap 只是偶尔启动。我单击该程序,我的光标显示它正在等待一两秒钟,然后什么也没有。尝试从命令行运行也不会显示任何运行迹象。然后,该程序可能会突然启动。是否有可能只需要永远开始。我让我的电脑一直在运行,第二天我来上班的时候就有了 UI。如果我尝试在无头状态下运行程序,我会得到相同的结果。带有 -daemon 标志。它永远不会启动,它永远不会显示在任务管理器中,作为应用程序或进程

谢谢诺埃尔

0 投票
2 回答
3520 浏览

authentication - 使用 API 调用的 ZAP 身份验证

我正在使用 ZAP API 调用来使用命令行测试站点。但是即使我遵循正确的步骤,我的用户身份验证也存在问题。但是当蜘蛛作为用户时,我仍然无法通过登录页面。以下是我正在执行的步骤。

1.包含在上下文中(context/includeContext)

2.将认证方式改为formBased。(authentication/setAutenticationMethod) 这里我只传递 contextID、authMethodName 并且在 authMethodConfigParams 中只传递 logiunUrl。不是登录请求数据。我试图将 authMethodConfigParams 作为

loginUrl=**********************&loginRequestData=username={%username%}&password={%password%}

但是当我使用它时,该字段没有填满。

3.设置登录指标(authentication/setLoggedInIndicator)

4.启用自动重新认证(auth/autoReauthON)

5.添加新用户(users/nweUser)

6.为用户设置凭据(users/setAuthenticationCredentials)

7.启用用户(users/setUserEnabled)

8.Spider作为新用户(spider/scanAsUser)

但在爬虫中,它无法通过登录页面。当我打开 UI 应用程序时,所有 API 调用都已工作,并且所有设置都已在会话属性上配置。但是当我检查 POST 请求时,它如下所示。

我认为这是问题所在。为什么不采用新用户凭据?

提前致谢

0 投票
3 回答
3453 浏览

javascript - 如何防止表单操作 URL 的 XSS?

我们使用 Shibboleth 的 SingleSingOut(SSO) 进行身份验证。Shibboleth 是一个开源项目,已集成到我们的项目中。Shibboleth 将重定向到 login.jsp 页面,如果用户还没有通过身份验证。现在我们已经定制了 login.jsp 页面来支持本地化。因此,Shibboleth IDP(Identity Provider) 必须发送表单 actionUrl 以执行身份验证。以下是 Shibboleth 提供的示例代码:

现在我已经使用了 OWASP ZAP 工具来检查安全攻击。它在以下代码中引发了高风险

它告诉我可能存在 XSS(跨站点脚本)攻击,所以它要求我对上面的代码进行编码。

如何防止表单操作 url 的 XSS(跨站点脚本)。因为,它是一个不受信任的数据,有什么方法可以对 URL 进行编码。经过一番研究,我发现最好使用 ESAPI.encoder().encodeForURL('url'); 方法。我的疑问是,将 ESAPI.encoder().encodeForURL('url') 用于表单操作 URL 是否正确?

来自Cross_Site_Scripting 预防备忘单

实际表单操作网址:

编码表单操作网址:

任何建议,将不胜感激。

0 投票
1 回答
2249 浏览

html - 如何在网页的下拉列表中注入xss攻击字符串?

我在我的网站中发现了一个 XSS 漏洞。我正在使用 ZAP 进行漏洞扫描。"><script>alert(1);</script> 从 ZAP 我发现了一个显示字符串警报的警报。

它提到的路径是我网站的注册页面。该页面上有几个下拉菜单。

例如:在选择国家的下拉菜单中,我保留了所有国家的选项。和“未找到匹配项”用于错误的文本。

如果我想在该下拉菜单上执行 XSS,当我输入字符串时"><script>alert(1);</script>

它给出错误“未找到匹配”,

您能告诉我如何在输入字符串时成功获得警报"><script>alert(1);</script>吗?

0 投票
1 回答
716 浏览

proxy - ZAP 和 BURP 之间的证书

我的浏览器上同时拥有来自 ZAP 和 BURP 的证书,并且我可以通过 SSL 网站浏览每个代理都没有问题。

现在,我使用 BURP 作为端口 9090 上的本地代理,并将流量从 BURP 重定向到 ZAP(侦听端口 8080)。

浏览非 SSL 网站时,一切正常,我在 BURP 中捕获流量并将其重定向到 ZAP,但是当我访问 SSL 网站时,会弹出一条不受信任的消息。

到底是怎么回事?我是否必须导出 BURP 证书并将其导入 ZAP(这没有意义,因为 ZAP 信任自签名证书)

如果有人遇到同样的问题并且可以对此有所了解并解决问题,我将非常感激。

先感谢您!

0 投票
3 回答
5752 浏览

regex - OWASP Zap 在代理中排除除给定 URL 之外的所有内容

我的问题很简单,我想从代理中排除除这 2 个 URL 之外的所有内容,只想查看 1 个站点的流量。

http://www.timetosa.comhttps://www.timetosa.com

这是我在“从代理中排除”部分插入但未成功的 REG:

0 投票
1 回答
575 浏览

jython - OWASP ZAP - jython 脚本文档

我正在 SQLi 测试客户端的 Web 应用程序,为此我正在使用 OWASP ZAP。由于接收注入值的网页总是通过 JSON 响应重定向用户(HTTP 状态代码仍然是 200 OK),我正在尝试开发一个基于 jython 的脚本以使该工具向提供的 json 发出请求重定向网址。

问题是 ZAP 的内部结构文档有点混乱......我不明白我应该如何引用“脚本”选项卡中的内容。

我尝试了以下“代理”脚本:

但我得到的只是一个java.lang.reflect.UndeclaredThrowableException错误。“输出”选项卡是空的,我找不到任何其他信息。有谁知道如何解决这个问题,或者我在哪里可以找到一些其他文档或 jython 示例脚本来帮助我完成这个?