问题标签 [zap]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
5083 浏览

basic-authentication - OWASP ZAP 中的基本授权

我需要通过 OWASP ZAP 工具(获得 2.5.0 版本)攻击端点。我通过 Postman 测试了端点。我已经获得授权类型:基本身份验证,用户名:exampleUserName,密码:examplePass。

请您给我任何提示,如何在 OWASP ZAP 中设置基本身份验证?

我为我的上下文设置了用户。需要什么esle?

找到解决方案:

1) 控制面板 -> Internet 选项 -> 连接 -> LAN 设置 -> 勾选“使用代理等”。-> 点击确定

2) 通过 Postman 发送请求,使用 Basic Auth

3) 端点在 OWASP ZAP 工具中可见,在站点部分

4)右键单击端点,选择Atack action

0 投票
1 回答
125 浏览

selenium - OWASP ZAP JVM 争用相同的 Selenium Grid 端口

我正在尝试通过 Selenium 网格服务器运行 Selenium 自动化脚本,ZAP 位于同一端口上,分析直通流量。但是,我与(硒网格和 ZAP)JVM 都位于同一端口(JVM 端口已在使用错误)上存在争议。有没有解决的办法?还是将 ZAP 与 Selenium Grid 结合使用的更好方法?

0 投票
2 回答
1652 浏览

javascript - 安全错误 - 该页面包含一个或多个来自第三方域的脚本文件

我正在尝试将“通过 Google 进行身份验证”嵌入到我正在开发的简单网络应用程序中。我使用以下代码来执行此操作。

然而,当我对我的代码运行 ZAP 分析时,它给了我一个低风险警报,说"The page includes one or more script files from a third-party domain". 它指向下一行作为问题所在。

我参考了描述这个问题的OWASP 教程,我知道这可以引入他们提到的 3 个风险,它们是

  1. 失去对客户端应用程序更改的控制。

  2. 在客户端系统上执行任意代码。

  3. 向第三方披露或泄露敏感信息。

但是,我也明白,如果我要使用 Google 身份验证,我必须信任 Google,并假设他们不会在这里做任何坏事。

有没有更好的方法在我的代码中执行此操作,以便 ZAP 不会警告我?

可以忽略此警报吗?

0 投票
1 回答
734 浏览

python - 使用 django 管理员登录的 OWASP ZAP 配置

问题我无法配置我的 OWASP ZAP 应用程序来登录并扫描需要身份验证的页面。

我的页面是内置的 Django 管理页面。

我已经按照此页面的说明录制了一个脚本:https ://www.coveros.com/scripting-authenticated-login-within-zap-vulnerability-scanner/

该脚本可以登录。

我已将其设置为基于脚本的身份验证

登录网址: http: //127.0.0.1 :8000/admin/ 方法:POST

登录指示符正则表达式:\Qlogout\E 退出指示符正则表达式:\Q/admin/\E

我不确定是否必须添加用户,但我已经添加了。

会话管理:基于 Cookie(也尝试了基于 HTTP)

当我点击 Attack Scan/Spider 时,扫描的页面只是不需要身份验证的页面。例如:未发现 /admin/logout/ 页面

请让我知道我做错了什么?

谢谢

0 投票
1 回答
293 浏览

unix - 多个 ZAP 守护程序的单独主机文件

我正在不同端口(例如 8080 和 9090)上的服务器上启动多个(现在假设 2 个)ZAP 守护程序。现在这 2 个 ZAP 实例被分配给 2 个不同的用户。现在,如果两个用户都试图访问一个应用程序,比如 www.myapp.com,但在他们自己的服务器上,其中一个应用程序托管在 10.0.0.1 上,另一个在 10.0.0.2 上。

由于 ZAP 在一台服务器上,我需要能够为每个 ZAP 提供 2 个不同的主机文件,以便可以为 ZAP 单独提供主机映射。

请提供有关如何完成此操作的解决方案?

0 投票
1 回答
391 浏览

plugins - SonarQube 5.6.6:错误 OWASP ZAP 和依赖检查插件

在 SonarQube 5.6.6 上设置仪表板小部件以显示来自 OWASP Dependency Check & ZAP 和 Xanitizer 的结果时,我遇到以下错误消息:

尝试显示小部件“xanitizer”时发生错误。请联系管理员。

我在 Windows 2008 Server R2 上运行 SonarQube 作为测试实例。

到目前为止我做了什么:

  1. 安装了相关插件
  2. 使用 Windows 路径配置插件 POM 文件(如C:\Program Files (x86)\Jenkins\workspace\ZAP-Scanning\reports:)
  3. 通过 Jenkins 作业(用于 OWASP 内容)或 Xanitizer 应用程序创建报告。
  4. 将 SonarQube 指向 SonarQube GIU 中 Xanitizer 报告文件的绝对路径
  5. 手动创建了每个 SonarQube 项目
  6. 将项目链接到相应的小部件
  7. 结果始终是您可以在上面找到的错误消息。

作为一种解决方法,我直接联系了 Steve Springet。他向我指出了一些 GitHub 页面,但没有帮助。

由于我不是开发人员:是否有任何教程可能会有所帮助?

实施 Checkmarx 插件需要几分钟才能显示扫描结果。显然我被困在 sonar.property 文件的某个地方或 Windows 和 Linux 语法之间的桥梁......

如果有帮助,我可以与您分享属性和 POM 文件。

0 投票
1 回答
531 浏览

python - 使用 python-owasp-zap-v2.4 包在 python 中自动化 OWASP 渗透测试

我需要使用 python-owasp-zap-v2.4 包在 python 脚本中自动化 OWASP 渗透测试。所以我需要运行这个命令

知道哪个 apikey 以及如何获取它吗?

0 投票
1 回答
348 浏览

vbscript - 正确删除经典 ASP 中的坏字符串

我在我的经典 asp 应用程序上执行了 OWASP-ZAP 安全测试。它回来了Format String Vulnerability

报告称它被ZAP%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s用作对某些表单输入字段参数(例如username)的攻击。

报告建议

使用正确删除坏字符串重写后台程序。

在我的情况下,这实际上意味着什么?
在这种情况下,在使用 request() 时是否足以替换特殊字符 - 例如 replace %in request(username)?还是我必须删除客户端的坏字符?

参考:https ://www.owasp.org/index.php/Format_string_attack

0 投票
1 回答
92 浏览

automated-tests - IntegrateJenkins 在没有硒的情况下触发 ZAP

有没有办法在作业构建完成后集成 Jenkins 以触发 Zed 攻击代理(Zap)而不使用 Selenium?

0 投票
1 回答
155 浏览

jenkins - 抑制 OWASP Zed 攻击代理问题

假设我在 OWASP Zed Attack Proxy (ZAP) 扫描的每个网站上都遇到了同样的问题。如果我想压制这个问题,我该怎么做?