问题标签 [zap]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
basic-authentication - OWASP ZAP 中的基本授权
我需要通过 OWASP ZAP 工具(获得 2.5.0 版本)攻击端点。我通过 Postman 测试了端点。我已经获得授权类型:基本身份验证,用户名:exampleUserName,密码:examplePass。
请您给我任何提示,如何在 OWASP ZAP 中设置基本身份验证?
我为我的上下文设置了用户。需要什么esle?
找到解决方案:
1) 控制面板 -> Internet 选项 -> 连接 -> LAN 设置 -> 勾选“使用代理等”。-> 点击确定
2) 通过 Postman 发送请求,使用 Basic Auth
3) 端点在 OWASP ZAP 工具中可见,在站点部分
4)右键单击端点,选择Atack action
selenium - OWASP ZAP JVM 争用相同的 Selenium Grid 端口
我正在尝试通过 Selenium 网格服务器运行 Selenium 自动化脚本,ZAP 位于同一端口上,分析直通流量。但是,我与(硒网格和 ZAP)JVM 都位于同一端口(JVM 端口已在使用错误)上存在争议。有没有解决的办法?还是将 ZAP 与 Selenium Grid 结合使用的更好方法?
javascript - 安全错误 - 该页面包含一个或多个来自第三方域的脚本文件
我正在尝试将“通过 Google 进行身份验证”嵌入到我正在开发的简单网络应用程序中。我使用以下代码来执行此操作。
然而,当我对我的代码运行 ZAP 分析时,它给了我一个低风险警报,说"The page includes one or more script files from a third-party domain"
. 它指向下一行作为问题所在。
我参考了描述这个问题的OWASP 教程,我知道这可以引入他们提到的 3 个风险,它们是
失去对客户端应用程序更改的控制。
在客户端系统上执行任意代码。
向第三方披露或泄露敏感信息。
但是,我也明白,如果我要使用 Google 身份验证,我必须信任 Google,并假设他们不会在这里做任何坏事。
有没有更好的方法在我的代码中执行此操作,以便 ZAP 不会警告我?
可以忽略此警报吗?
python - 使用 django 管理员登录的 OWASP ZAP 配置
问题我无法配置我的 OWASP ZAP 应用程序来登录并扫描需要身份验证的页面。
我的页面是内置的 Django 管理页面。
我已经按照此页面的说明录制了一个脚本:https ://www.coveros.com/scripting-authenticated-login-within-zap-vulnerability-scanner/
该脚本可以登录。
我已将其设置为基于脚本的身份验证
登录网址: http: //127.0.0.1 :8000/admin/ 方法:POST
登录指示符正则表达式:\Qlogout\E 退出指示符正则表达式:\Q/admin/\E
我不确定是否必须添加用户,但我已经添加了。
会话管理:基于 Cookie(也尝试了基于 HTTP)
当我点击 Attack Scan/Spider 时,扫描的页面只是不需要身份验证的页面。例如:未发现 /admin/logout/ 页面
请让我知道我做错了什么?
谢谢
unix - 多个 ZAP 守护程序的单独主机文件
我正在不同端口(例如 8080 和 9090)上的服务器上启动多个(现在假设 2 个)ZAP 守护程序。现在这 2 个 ZAP 实例被分配给 2 个不同的用户。现在,如果两个用户都试图访问一个应用程序,比如 www.myapp.com,但在他们自己的服务器上,其中一个应用程序托管在 10.0.0.1 上,另一个在 10.0.0.2 上。
由于 ZAP 在一台服务器上,我需要能够为每个 ZAP 提供 2 个不同的主机文件,以便可以为 ZAP 单独提供主机映射。
请提供有关如何完成此操作的解决方案?
plugins - SonarQube 5.6.6:错误 OWASP ZAP 和依赖检查插件
在 SonarQube 5.6.6 上设置仪表板小部件以显示来自 OWASP Dependency Check & ZAP 和 Xanitizer 的结果时,我遇到以下错误消息:
尝试显示小部件“xanitizer”时发生错误。请联系管理员。
我在 Windows 2008 Server R2 上运行 SonarQube 作为测试实例。
到目前为止我做了什么:
- 安装了相关插件
- 使用 Windows 路径配置插件 POM 文件(如
C:\Program Files (x86)\Jenkins\workspace\ZAP-Scanning\reports
:) - 通过 Jenkins 作业(用于 OWASP 内容)或 Xanitizer 应用程序创建报告。
- 将 SonarQube 指向 SonarQube GIU 中 Xanitizer 报告文件的绝对路径
- 手动创建了每个 SonarQube 项目
- 将项目链接到相应的小部件
- 结果始终是您可以在上面找到的错误消息。
作为一种解决方法,我直接联系了 Steve Springet。他向我指出了一些 GitHub 页面,但没有帮助。
由于我不是开发人员:是否有任何教程可能会有所帮助?
实施 Checkmarx 插件需要几分钟才能显示扫描结果。显然我被困在 sonar.property 文件的某个地方或 Windows 和 Linux 语法之间的桥梁......
如果有帮助,我可以与您分享属性和 POM 文件。
python - 使用 python-owasp-zap-v2.4 包在 python 中自动化 OWASP 渗透测试
我需要使用 python-owasp-zap-v2.4 包在 python 脚本中自动化 OWASP 渗透测试。所以我需要运行这个命令
知道哪个 apikey 以及如何获取它吗?
vbscript - 正确删除经典 ASP 中的坏字符串
我在我的经典 asp 应用程序上执行了 OWASP-ZAP 安全测试。它回来了Format String Vulnerability
。
报告称它被ZAP%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s
用作对某些表单输入字段参数(例如username
)的攻击。
报告建议
使用正确删除坏字符串重写后台程序。
在我的情况下,这实际上意味着什么?
在这种情况下,在使用 request() 时是否足以替换特殊字符 - 例如 replace %
in request(username)
?还是我必须删除客户端的坏字符?
automated-tests - IntegrateJenkins 在没有硒的情况下触发 ZAP
有没有办法在作业构建完成后集成 Jenkins 以触发 Zed 攻击代理(Zap)而不使用 Selenium?
jenkins - 抑制 OWASP Zed 攻击代理问题
假设我在 OWASP Zed Attack Proxy (ZAP) 扫描的每个网站上都遇到了同样的问题。如果我想压制这个问题,我该怎么做?