问题标签 [zap]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - ZAP 报告存在路径遍历漏洞。它是怎么找到的?
我正在使用 ZAP 测试一个 Web 应用程序,它报告了一个路径遍历漏洞。我了解它是如何工作的(至少,我是这么认为的),所以我查看了代码,测试了 URL,但我找不到修复漏洞的地方。我只从 ZAP 知道问题仅出在 URL/service/book和参数category中。有趣的是,该应用程序的其余部分没有相同的问题。
也许,如果我知道 ZAP 是如何找到它的,它会帮助我了解问题所在并修复应用程序。你知道我如何检查 ZAP 是如何检测漏洞的吗?
authentication - Zed 攻击代理身份验证错误 (401) - 守护程序模式
我有一个托管在 IIS 上的本地网站,我正在尝试使用在守护进程模式下执行的 ZAP 工具扫描我的应用程序。一切正常,直到我从 IIS 禁用“匿名身份验证”方法并且启用的唯一方法是“基本身份验证”。我得到的错误是“无法攻击 URL:收到 401 响应代码”。
是否有可能从守护程序模式发送登录凭据?
命令如下所示:zap.bat -quickurl "urlToTest" -quickprogress -daemon -cmd。
java - 如果我的应用程序已经针对该攻击进行了保护,我该如何避免 ZAP SQL 注入警报?
我的 QA 团队报告说,我们的应用程序可以使用 SQL 注入攻击。但是,我们的任何查询都是动态创建的,我们使用 API 来执行类似于 Hibernate 的查询,并且我们总是在执行查询之前准备语句,并且我们不使用存储过程。QA 团队正在使用 ZAP 扫描应用程序。那么,我需要做些什么来避免 ZAP SQL 注入警报?
java - OWASP ZAP 代理冻结
我最近开始在Hacking-Lab上做一些练习。
在一项任务中,我想在网站上进行“主动扫描”。扫描运行速度相当快,达到 100%,但随后 ZAP 工具被冻结。除了关闭按钮,我什么都不能点击。但是,该工具仍会从 Internet 捕获数据包。
Hacking-Lab 的人建议使用与 Oracle 不同的 JDK,而不是他们使用的 OpenJDK。不幸的是,这没有奏效。
是否有人有同样的问题或提示如何解决该问题?
谢谢!
java - 如何在 zapproxy 扫描中删除与指定 url 相关的所有资源?
我正在使用zapproxy的java客户端api自动动态检测许多网站的漏洞。我需要释放指定url的所有资源(警报、蜘蛛结果、主动扫描结果、内存使用情况)并且不干扰其他的扫描网址。
概述 zapproxy 的整个 api,我只得到:
我认为这将删除所有警报,包括属于其他网址的警报。
那么,如何在 zapproxy 扫描中删除指定 url 的资源呢?
macos - 如何将 OWASP Zap 设置为 MITM 代理来调试 HTTP Web 服务调用?
我想在 OS X 上捕获 HTTP 请求和响应。请求从 Ruby-on-Rails 服务器发送到 Elasticsearch 服务器,因此我无法使用 Chrome 或其他浏览器提供的内置日志记录。
在我的 elasticsearch.yaml 中,我已将 Elasticsearch 更改为使用端口 9400。使用 Web 浏览器,我验证它现在支持对该端口的请求,而不是 9200。
在 ZAP 中,我已将选项 > 本地代理 > 端口设置为 9200。
我希望我的 Rails 应用程序继续向端口 9200 发送消息,让它们被 ZAP 拦截并在端口 9400 上转发到 Elasticsearch,让 Elasticsearch 将响应发送回 ZAP,然后让 ZAP 将其转发到 Rails 应用程序。
我没有看到我期望发生的事情。尝试使用 Web 浏览器(代替 rails 应用程序)从端口 9200 请求返回“错误格式”。
我需要对 ZAP 进行哪些额外配置,以及如何让它启动?我如何告诉它将请求转发到端口 9400?
更新:我认为我要求的是“反向代理”。
更新:在 OWASP 的 google 组中,我了解到 ZAP 不用作反向代理。我最终选择了 mitmproxy,它易于安装和使用,功能较少,因此更易于理解。
security - 为 Zed 攻击代理扫描自动执行 OAuth 访问令牌
我想对少数 REST API 运行安全扫描。这些 API 使用 OAuth 并分为两组,每组使用不同的授权类型。
我想使用 ZAP 工具运行安全扫描,但我无法自动执行获取请求使用的 OAuth 令牌的过程。
我正在使用 SoapUI 在 ZAP 中记录 API,效果很好。但是当令牌过期时,我必须在使用 SoapUI 或 PostMan 检索令牌后手动重新记录或编辑令牌。
请求提供一点细节的步骤。
如果需要更多详细信息,请告诉我。
任何帮助将不胜感激
android - 如何在 Android 上使用 OWASP ZAP 进行 MiTM 攻击?
我知道我没有在我的 Android 应用程序中处理 MiTM,它可能很容易受到攻击。我想通过代理(我的笔记本电脑)连接我的 Android 手机并使用任何可能的工具来检查 MiTM 攻击来测试场景。
protractor - Protractor 和 ZAP 代理参数
背景:我正在尝试使用 OWASP ZAP 拦截 angularjs 网页的流量。量角器的文档说我应该指定代理参数,如下所示。
问题:从ZAP版本:2.4.1开始,ZAP引入了API认证,所以我需要在proxy参数中传递认证密钥来设置浏览器的Desire能力。
知道如何让 ZAP 在这种情况下拦截流量吗?
'proxy': { 'proxyType': 'manual', 'httpsProxy': 'localhost:8090', //ZAP 配置在端口 8090 'sslProxy': 'localhost:8090' }
android - 无法通过我们的 Android 应用程序通过 BurpSuite/ZAP 跟踪 HTTP 请求
我有一个无法解决的问题。从我们开发的 Android 应用程序中跟踪 BurpSuite/ZAP 的请求是不可能的,但是,我知道请求是由应用程序发送的。
我发现跟踪请求的唯一方法是另一个 android 应用程序 - 数据包捕获,非常无用且不舒服。