问题标签 [zap]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - OWASP ZAP 报告“alert(1);” XSS 漏洞,但没有弹出窗口
OWASP ZAP 报告“alert(1);” XSS 漏洞,但我们无法在浏览器中弹出。这只是误报吗?
围绕注入攻击的 HTML 是:
java - 通过 SSL 以明文形式发送登录信息?
我正在使用 OWASP ZAP(用于本地浏览器流量嗅探的代理)测试启用和禁用 SSL 的网站,并注意到我的登录名是通过 HTTPS 和 HTTP 以纯文本形式发送的。有没有办法防止这种情况?
我使用 Tomcat 8 和 Eclipse Mars 作为编写站点的 Java IDE。(下图,因为我没有足够的代表来正确提交) https://s3.amazonaws.com/f.cl.ly/items/1N0h1l0K12470p2K123s/Image%202015-04-02%20at%202.52.00% 20AM.png
javascript - OWASP ZAP Fuzzing - 输入参数作为字符串反映在响应中,还是 XSS?
原始问题在这里:http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up
我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码来解决此问题。在我们使用 OWASP ZAP 对参数进行模糊测试后,我们仍然在结果列表中得到了几个(Reflected)黄色球。单击黄色球中的项目,响应的亮点是,例如:
DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";
如您所见,被攻击的代码只是一个简单的字符串,不会被执行。我们可以说我们现在是安全的,这只是一个误报吗?
security - 为什么它没有在 zap 攻击代理 (zap) 中显示渲染 html?
我正在使用zed攻击代理工具。它没有在新版本的响应选项卡中显示呈现的 html。有什么问题。
owasp - 限制 ZAP 扫描仪
与 AppScan 相比,ZAP 有趣得多。但是,在 AppScan 中,限制和指导扫描要容易得多。
我必须在(几乎)生产环境中执行扫描,我们称之为环境暂存。在登台和制作中,我必须申请一个新帐户,所以在我这样做之前,我想调查替代方案。
我必须在包含许多文档的帐户中暂存运行扫描。我不希望 ZAP 只尝试文档 ID,因为这可能意味着我会弄乱我同事的文档。文档 ID 用于查询字符串,例如:https ://myapp.com/Edit?docid=764 。
我如何配置 ZAP,如果该 docid 参数在查询字符串中,它将始终使用值 764?ZAP 必须测试任何其他查询字符串参数,但 docid 必须始终相同。
java - Zap 报告反映在 sord、sidx 和 nd
从 zap 扫描并生成报告后,它在 、 和 上报告了sord
反射sidx
的_search
xss nd
。但我认为我不必对其进行消毒。还是我必须这样做?我在服务器端做我的卫生部分。
请问举报的原因是什么?任何帮助是极大的赞赏。
security - OWASP ZAP。如何使用 cookie 扫描网站?
我不知道如何在 ZAP 上使用 cookie 来扫描网站,我所做的是右键单击域Attack>Active Scan Subtree
。
我尝试过在使用有效 cookie 向网站发出请求后(我已登录),以防 ZAP 获取最后一个 cookie,但显然它没有,所以结果是我只扫描了登录名,而不是我可以在登录时访问。
非常感谢。
authentication - 在 ZAP 工具中添加身份验证以攻击 URL
如何将身份验证详细信息传递给 ZAP 工具以扫描网站。请帮我解决问题。
django - SESSION_COOKIE_HTTPONLY = True 不能在 Django 中工作:
我在我的设置了以下代码settings.py
:
即使文档说这是默认设置。
然后我./manage.py runserver
在网站上使用并运行 OWASP Zap 扫描仪。但是 OWASP zap 说 cookie 是在没有 HttpOnly 标志的情况下设置的:
gunicorn
当我使用和为站点提供服务时,我也遇到了这个问题nginx
。我怎样才能设置这个标志?
使用django 1.8
; 如果相关,该页面accounts/login
由 管理。django-registration-redux
javascript - javascript修改的OWASP Zap Fuzz参数
您好,我正在使用 OWASP ZAP 2.41(目前是最新版本),我想在基于 JSON 的 POST 中对参数进行模糊测试。
该字段首先插入到 HTML 表单中,但它是用 javascript 加密的,就请求而言,我可以用 ZAP 更改的是加密字段。
我想要的是使用非加密值的蛮力。
我不得不说我可以访问加密字段的 javascript。
有谁知道如何执行此操作?非常感谢。