问题标签 [zap]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
1086 浏览

javascript - OWASP ZAP 报告“alert(1);” XSS 漏洞,但没有弹出窗口

OWASP ZAP 报告“alert(1);” XSS 漏洞,但我们无法在浏览器中弹出。这只是误报吗?

围绕注入攻击的 HTML 是:

0 投票
1 回答
50 浏览

java - 通过 SSL 以明文形式发送登录信息?

我正在使用 OWASP ZAP(用于本地浏览器流量嗅探的代理)测试启用和禁用 SSL 的网站,并注意到我的登录名是通过 HTTPS 和 HTTP 以纯文本形式发送的。有没有办法防止这种情况?

我使用 Tomcat 8 和 Eclipse Mars 作为编写站点的 Java IDE。(下图,因为我没有足够的代表来正确提交) https://s3.amazonaws.com/f.cl.ly/items/1N0h1l0K12470p2K123s/Image%202015-04-02%20at%202.52.00% 20AM.png

0 投票
1 回答
4240 浏览

javascript - OWASP ZAP Fuzzing - 输入参数作为字符串反映在响应中,还是 XSS?

原始问题在这里:http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up

我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码来解决此问题。在我们使用 OWASP ZAP 对参数进行模糊测试后,我们仍然在结果列表中得到了几个(Reflected)黄色球。单击黄色球中的项目,响应的亮点是,例如:

DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";

如您所见,被攻击的代码只是一个简单的字符串,不会被执行。我们可以说我们现在是安全的,这只是一个误报吗?

0 投票
2 回答
1005 浏览

security - 为什么它没有在 zap 攻击代理 (zap) 中显示渲染 html?

我正在使用zed攻击代理工具。它没有在新版本的响应选项卡中显示呈现的 html。有什么问题。

0 投票
1 回答
377 浏览

owasp - 限制 ZAP 扫描仪

与 AppScan 相比,ZAP 有趣得多。但是,在 AppScan 中,限制和指导扫描要容易得多。

我必须在(几乎)生产环境中执行扫描,我们称之为环境暂存。在登台和制作中,我必须申请一个新帐户,所以在我这样做之前,我想调查替代方案。

我必须在包含许多文档的帐户中暂存运行扫描。我不希望 ZAP 只尝试文档 ID,因为这可能意味着我会弄乱我同事的文档。文档 ID 用于查询字符串,例如:https ://myapp.com/Edit?docid=764 。

我如何配置 ZAP,如果该 docid 参数在查询字符串中,它将始终使用值 764?ZAP 必须测试任何其他查询字符串参数,但 docid 必须始终相同。

0 投票
1 回答
35 浏览

java - Zap 报告反映在 sord、sidx 和 nd

从 zap 扫描并生成报告后,它在 、 和 上报告了sord反射sidx_searchxss nd。但我认为我不必对其进行消毒。还是我必须这样做?我在服务器端做我的卫生部分。

请问举报的原因是什么?任何帮助是极大的赞赏。

0 投票
1 回答
12187 浏览

security - OWASP ZAP。如何使用 cookie 扫描网站?

我不知道如何在 ZAP 上使用 cookie 来扫描网站,我所做的是右键单击域Attack>Active Scan Subtree

我尝试过在使用有效 cookie 向网站发出请求后(我已登录),以防 ZAP 获取最后一个 cookie,但显然它没有,所以结果是我只扫描了登录名,而不是我可以在登录时访问。

非常感谢。

0 投票
3 回答
62295 浏览

authentication - 在 ZAP 工具中添加身份验证以攻击 URL

如何将身份验证详细信息传递给 ZAP 工具以扫描网站。请帮我解决问题。

0 投票
1 回答
2959 浏览

django - SESSION_COOKIE_HTTPONLY = True 不能在 Django 中工作:

我在我的设置了以下代码settings.py

即使文档说这是默认设置。

然后我./manage.py runserver在网站上使用并运行 OWASP Zap 扫描仪。但是 OWASP zap 说 cookie 是在没有 HttpOnly 标志的情况下设置的:

在此处输入图像描述

gunicorn当我使用和为站点提供服务时,我也遇到了这个问题nginx。我怎样才能设置这个标志?

使用django 1.8; 如果相关,该页面accounts/login由 管理。django-registration-redux

0 投票
1 回答
473 浏览

javascript - javascript修改的OWASP Zap Fuzz参数

您好,我正在使用 OWASP ZAP 2.41(目前是最新版本),我想在基于 JSON 的 POST 中对参数进行模糊测试。

该字段首先插入到 HTML 表单中,但它是用 javascript 加密的,就请求而言,我可以用 ZAP 更改的是加密字段。

我想要的是使用非加密值的蛮力。

我不得不说我可以访问加密字段的 javascript。

有谁知道如何执行此操作?非常感谢。