问题标签 [zap]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
397 浏览

jquery - 忽略 URL CSRF Guard

我已经在我的 Grails 应用程序中应用了 CSRF Guard。但是在我的登录页面中,我导入了 jquery-1.10.2.min.js 库:

但是当我运行 OWASP Zap 扫描我的应用程序时,它不断收到警报:URL 上的 Anti CSRF 令牌扫描器:http://localhost:8080/MyApp/js/jquery-1.10.min.js

CSRF 有没有办法忽略这个 URL 并将其标记为受保护,或者有没有其他方法可以忽略或传递 OWASP Zap 扫描。

谢谢!

0 投票
1 回答
762 浏览

python - 如何使用 python 将 ZAP 集成到詹金斯?

其实我不知道蟒蛇。为了将 zap 与 jenkins 集成,我搜索了很多。但我找不到任何有用的东西。
这是我找到的链接

我按照步骤..但是在执行python脚本时。

回溯(最后一次调用):
文件“zap-python-script.py”,第 15 行,在 zap.urlopen(target)
文件“/usr/lib/python2.6/site-packages/python_owasp_zap_v2.4-0.0. 2-py2.6.egg/zapv2/ init .py”,第 116 行,在 urlopen 返回 urllib.urlopen(*args, **kwargs).read()
文件“/usr/lib64/python2.6/urllib.py ”,第 86 行,在 urlopen 返回 opener.open(url)
文件“/usr/lib64/python2.6/urllib.py”,第 207 行,在打开返回 getattr(self, name)(url)
文件“/usr/ lib64/python2.6/urllib.py”,第 346 行,在 open_httph.endheaders()
文件中“/usr/lib64/python2.6/httplib.py”,第 908 行,在 endheadersself._send_output()
文件中“/usr/ lib64/python2.6/httplib.py”,第 780 行, 在 _send_outputself.send(msg)
文件“/usr/lib64/python2.6/httplib.py”,第 739 行,在 sendself.connect()
文件“/usr/lib64/python2.6/httplib.py”,第 720 行,在 connectself.timeout)
文件“/usr/lib64/python2.6/socket.py”,第 567 行,在 create_connectionraise 错误中,消息

IOError:[Errno 套接字错误] [Errno 111] 连接被拒绝

我收到这个错误。这里target = http://10.200.35.11:7006/myapplicationurl

请为我提供解决此错误的解决方案或建议我将 ZAP 与 jenkins 集成的方法。

Python代码

请在这方面给我建议...

0 投票
1 回答
1761 浏览

security - ZAP 安全工具非常耗时

我已经为 Test .net MVC 应用程序运行了 ZAP 安全工具,ZAP 工具需要花费太多时间来运行脚本,有时工具响应不佳。有没有其他工具可以给我准确的结果,比如 zap?

谢谢。

0 投票
1 回答
547 浏览

zap - ZAP - 备份文件扫描


我似乎无法确定 ZAP 的activescan功能是否包括自动搜索备份文件。

在 ZAP 当前的帮助中,没有关于此类功能的广告:
https ://github.com/zaproxy/zap-core-help/wiki/HelpAddonsAscanrulesAscanrules

三个月前更新的Alpha开发规则,也没有提及:
zaproxy/zap-extensions/tree/alpha/src/org/zaproxy/zap/extension/ascanrulesAlpha

然而,由于备份文件扫描似乎包含在 2014 年,我不明白为什么今天不会:
https ://groups.google.com/forum/#!topic/zaproxy-develop/poF_OU_4kfs

--
备份文件扫描是否与 ZAP 捆绑在一起?如果是,如何?
提前致谢,
爱奥尼

0 投票
1 回答
93 浏览

linux - 是否可以在网络服务器前使用 OWASP ZAP?

我的问题是,我可以使用 OWASP ZAP 作为前端(在我的网络服务器前面)来扫描所有的任务吗?

我想跟踪请求的发送方式以及用户何时利用漏洞。

我正在考虑在端口 80 设置 owasp 并将所有流量重定向到端口 8080 (wenserver),但我不知道这是否可能。

额外信息 - 我只使用 Linux 终端,所以我想我将不得不使用 Zap pythonApi .. 不是吗?

谢谢

0 投票
1 回答
270 浏览

macos - OWASP ZAP 2.4.2 OSX 中的身份验证

我已按照此视频中的说明配置了身份验证和用户:

https://www.youtube.com/watch?v=cR4gw-cPZOA

但是,当我运行 Attack->Active Scan 时,它似乎并没有真正使用这些凭据(我看到很多帖子到我的身份验证表单中使用用户“ZAP”,以及各种其他看似固定的输入),我无法弄清楚如何做到这一点。

0 投票
1 回答
610 浏览

owasp - OWASP ZAP 身份验证 - 无法使用 zap/zap 停止它

我无法通过登录页面。它只关注登录和忘记密码表单。

我遵循了各种官方 HOWTO 和这个常见问题解答,但即使我删除了zap用户,它仍然login_id=ZAP&password=ZAP在尝试登录时使用。

我处于标准模式,强制用户模式,定义了强制用户,定义了登录和注销字符串 - 我已经尝试过其他人。

登录表单目标网址:https://xxx.yyy.net/affiliate_login_action.ido

登录请求 POST 数据:login_id={%username%}&password={%password%}

登录正则表达式:\QLogout\E

注销正则表达式:\QAgent Login\E

我想不出还有什么可以尝试的。

0 投票
1 回答
1916 浏览

grails - CSRF 和 OWASP ZAP

我们有一个 Grails 应用程序,目前正在进行一些 OWASP ZAP 安全扫描。已经出现了一些 Anti CSRF Tokens Scanner 警报,考虑到一些 URL 已经在参数中看到了令牌,这很奇怪。我们已经使用 CSRF Guard (csrfguard-3.1.0) 来解决这些问题,但似乎这些在扫描后仍然出现。是否需要进行一些配置才能让它们消失。当前版本的 OWASP ZAP 是 2.4.1

0 投票
1 回答
1540 浏览

regex - 如何使用 ZAP 和 HTTP 302 执行身份验证

我使用 ZAP 已经有一段时间了,我熟悉它的基本功能。

目前我面临以下问题:我有一个 Web 应用程序,其中登录页面(POST 请求)生成带有 EMPTY 内容的 302 响应,这意味着我无法确定应该将哪个字符串/正则表达式传递给 ZAP 作为登录或注销指示器。

我尝试使用正则表达式从登录页面或主页(一旦用户登录)登录/注销指示器,但这会带来问题。

1-ZAP 检测到用户未登录(因为说登录指示符字符串不存在) 2-ZAP 自动发送我标记为基于表单的身份验证的 POST 请求 3-POST 请求返回 HTTP 302一个空的正文 4-由于 ZAP 在 HTTP 302 正文中找不到登录和注销指示器,我返回到登录页面,因此自动登录不起作用。

在这种情况下我应该怎么做?正如我所提到的,我已经在几秒钟内成功地将 ZAP 自动登录用于其他项目/应用程序,但是这个带有空响应正文的 HTTP 302 造成了问题。

建议?

0 投票
1 回答
87 浏览

login - 登录时密码何时加密?

登录网页(例如 gmail)时,这些凭据将被加密?

就我而言:实际上我已经使用 ZAP 代理来分析通过我的浏览器的流量。当我登录 gmail 并通过 ZAP 代理分析流量时,我可以看到纯文本格式的密码。

那么加密是什么时候发生的呢?