问题标签 [zap]

我已经在我的 Grails 应用程序中应用了 CSRF Guard。但是在我的登录页面中，我导入了 jquery-1.10.2.min.js 库：

但是当我运行 OWASP Zap 扫描我的应用程序时，它不断收到警报：URL 上的 Anti CSRF 令牌扫描器：http://localhost:8080/MyApp/js/jquery-1.10.min.js

CSRF 有没有办法忽略这个 URL 并将其标记为受保护，或者有没有其他方法可以忽略或传递 OWASP Zap 扫描。

谢谢！

其实我不知道蟒蛇。为了将 zap 与 jenkins 集成，我搜索了很多。但我找不到任何有用的东西。
这是我找到的链接

我按照步骤..但是在执行python脚本时。

回溯（最后一次调用）：
文件“zap-python-script.py”，第 15 行，在 zap.urlopen(target)
文件“/usr/lib/python2.6/site-packages/python_owasp_zap_v2.4-0.0. 2-py2.6.egg/zapv2/ init .py”，第 116 行，在 urlopen 返回 urllib.urlopen(*args, **kwargs).read()
文件“/usr/lib64/python2.6/urllib.py ”，第 86 行，在 urlopen 返回 opener.open(url)
文件“/usr/lib64/python2.6/urllib.py”，第 207 行，在打开返回 getattr(self, name)(url)
文件“/usr/ lib64/python2.6/urllib.py”，第 346 行，在 open_httph.endheaders()
文件中“/usr/lib64/python2.6/httplib.py”，第 908 行，在 endheadersself._send_output()
文件中“/usr/ lib64/python2.6/httplib.py”，第 780 行， 在 _send_outputself.send(msg)
文件“/usr/lib64/python2.6/httplib.py”，第 739 行，在 sendself.connect()
文件“/usr/lib64/python2.6/httplib.py”，第 720 行，在 connectself.timeout)
文件“/usr/lib64/python2.6/socket.py”，第 567 行，在 create_connectionraise 错误中，消息

IOError：[Errno 套接字错误] [Errno 111] 连接被拒绝

我收到这个错误。这里target = http://10.200.35.11:7006/myapplicationurl

请为我提供解决此错误的解决方案或建议我将 ZAP 与 jenkins 集成的方法。

Python代码

请在这方面给我建议...

我已经为 Test .net MVC 应用程序运行了 ZAP 安全工具，ZAP 工具需要花费太多时间来运行脚本，有时工具响应不佳。有没有其他工具可以给我准确的结果，比如 zap？

谢谢。

我似乎无法确定 ZAP 的activescan功能是否包括自动搜索备份文件。

在 ZAP 当前的帮助中，没有关于此类功能的广告：
https ://github.com/zaproxy/zap-core-help/wiki/HelpAddonsAscanrulesAscanrules

三个月前更新的Alpha开发规则，也没有提及：
zaproxy/zap-extensions/tree/alpha/src/org/zaproxy/zap/extension/ascanrulesAlpha

然而，由于备份文件扫描似乎包含在 2014 年，我不明白为什么今天不会：
https ://groups.google.com/forum/#!topic/zaproxy-develop/poF_OU_4kfs

--
备份文件扫描是否与 ZAP 捆绑在一起？如果是，如何？
提前致谢，
爱奥尼

我的问题是，我可以使用 OWASP ZAP 作为前端（在我的网络服务器前面）来扫描所有的任务吗？

我想跟踪请求的发送方式以及用户何时利用漏洞。

我正在考虑在端口 80 设置 owasp 并将所有流量重定向到端口 8080 (wenserver)，但我不知道这是否可能。

额外信息 - 我只使用 Linux 终端，所以我想我将不得不使用 Zap pythonApi .. 不是吗？

谢谢

我已按照此视频中的说明配置了身份验证和用户：

https://www.youtube.com/watch?v=cR4gw-cPZOA

但是，当我运行 Attack->Active Scan 时，它似乎并没有真正使用这些凭据（我看到很多帖子到我的身份验证表单中使用用户“ZAP”，以及各种其他看似固定的输入），我无法弄清楚如何做到这一点。

我无法通过登录页面。它只关注登录和忘记密码表单。

我遵循了各种官方 HOWTO 和这个常见问题解答，但即使我删除了zap用户，它仍然login_id=ZAP&password=ZAP在尝试登录时使用。

我处于标准模式，强制用户模式，定义了强制用户，定义了登录和注销字符串 - 我已经尝试过其他人。

登录表单目标网址：https://xxx.yyy.net/affiliate_login_action.ido

登录请求 POST 数据：login_id={%username%}&password={%password%}

登录正则表达式：\QLogout\E

注销正则表达式：\QAgent Login\E

我想不出还有什么可以尝试的。

我们有一个 Grails 应用程序，目前正在进行一些 OWASP ZAP 安全扫描。已经出现了一些 Anti CSRF Tokens Scanner 警报，考虑到一些 URL 已经在参数中看到了令牌，这很奇怪。我们已经使用 CSRF Guard (csrfguard-3.1.0) 来解决这些问题，但似乎这些在扫描后仍然出现。是否需要进行一些配置才能让它们消失。当前版本的 OWASP ZAP 是 2.4.1

我使用 ZAP 已经有一段时间了，我熟悉它的基本功能。

目前我面临以下问题：我有一个 Web 应用程序，其中登录页面（POST 请求）生成带有 EMPTY 内容的 302 响应，这意味着我无法确定应该将哪个字符串/正则表达式传递给 ZAP 作为登录或注销指示器。

我尝试使用正则表达式从登录页面或主页（一旦用户登录）登录/注销指示器，但这会带来问题。

1-ZAP 检测到用户未登录（因为说登录指示符字符串不存在） 2-ZAP 自动发送我标记为基于表单的身份验证的 POST 请求 3-POST 请求返回 HTTP 302一个空的正文 4-由于 ZAP 在 HTTP 302 正文中找不到登录和注销指示器，我返回到登录页面，因此自动登录不起作用。

在这种情况下我应该怎么做？正如我所提到的，我已经在几秒钟内成功地将 ZAP 自动登录用于其他项目/应用程序，但是这个带有空响应正文的 HTTP 302 造成了问题。

建议？

登录网页（例如 gmail）时，这些凭据将被加密？

就我而言：实际上我已经使用 ZAP 代理来分析通过我的浏览器的流量。当我登录 gmail 并通过 ZAP 代理分析流量时，我可以看到纯文本格式的密码。

那么加密是什么时候发生的呢？