问题标签 [zap]

OWASP ZAP 报告“alert(1);” XSS 漏洞，但我们无法在浏览器中弹出。这只是误报吗？

围绕注入攻击的 HTML 是：

我正在使用 OWASP ZAP（用于本地浏览器流量嗅探的代理）测试启用和禁用 SSL 的网站，并注意到我的登录名是通过 HTTPS 和 HTTP 以纯文本形式发送的。有没有办法防止这种情况？

我使用 Tomcat 8 和 Eclipse Mars 作为编写站点的 Java IDE。（下图，因为我没有足够的代表来正确提交） https://s3.amazonaws.com/f.cl.ly/items/1N0h1l0K12470p2K123s/Image%202015-04-02%20at%202.52.00% 20AM.png

原始问题在这里：http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up

我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码来解决此问题。在我们使用 OWASP ZAP 对参数进行模糊测试后，我们仍然在结果列表中得到了几个（Reflected）黄色球。单击黄色球中的项目，响应的亮点是，例如：

DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";

如您所见，被攻击的代码只是一个简单的字符串，不会被执行。我们可以说我们现在是安全的，这只是一个误报吗？

我正在使用zed攻击代理工具。它没有在新版本的响应选项卡中显示呈现的 html。有什么问题。

与 AppScan 相比，ZAP 有趣得多。但是，在 AppScan 中，限制和指导扫描要容易得多。

我必须在（几乎）生产环境中执行扫描，我们称之为环境暂存。在登台和制作中，我必须申请一个新帐户，所以在我这样做之前，我想调查替代方案。

我必须在包含许多文档的帐户中暂存运行扫描。我不希望 ZAP 只尝试文档 ID，因为这可能意味着我会弄乱我同事的文档。文档 ID 用于查询字符串，例如：https ://myapp.com/Edit?docid=764 。

我如何配置 ZAP，如果该 docid 参数在查询字符串中，它将始终使用值 764？ZAP 必须测试任何其他查询字符串参数，但 docid 必须始终相同。

从 zap 扫描并生成报告后，它在 、 和 上报告了sord反射sidx的_searchxss nd。但我认为我不必对其进行消毒。还是我必须这样做？我在服务器端做我的卫生部分。

请问举报的原因是什么？任何帮助是极大的赞赏。

我不知道如何在 ZAP 上使用 cookie 来扫描网站，我所做的是右键单击域Attack>Active Scan Subtree。

我尝试过在使用有效 cookie 向网站发出请求后（我已登录），以防 ZAP 获取最后一个 cookie，但显然它没有，所以结果是我只扫描了登录名，而不是我可以在登录时访问。

非常感谢。

如何将身份验证详细信息传递给 ZAP 工具以扫描网站。请帮我解决问题。

我在我的设置了以下代码settings.py：

即使文档说这是默认设置。

然后我./manage.py runserver在网站上使用并运行 OWASP Zap 扫描仪。但是 OWASP zap 说 cookie 是在没有 HttpOnly 标志的情况下设置的：

gunicorn当我使用和为站点提供服务时，我也遇到了这个问题nginx。我怎样才能设置这个标志？

使用django 1.8; 如果相关，该页面accounts/login由 管理。django-registration-redux

您好，我正在使用 OWASP ZAP 2.41（目前是最新版本），我想在基于 JSON 的 POST 中对参数进行模糊测试。

该字段首先插入到 HTML 表单中，但它是用 javascript 加密的，就请求而言，我可以用 ZAP 更改的是加密字段。

我想要的是使用非加密值的蛮力。

我不得不说我可以访问加密字段的 javascript。

有谁知道如何执行此操作？非常感谢。