问题标签 [zap]

我需要一种简单的方法来拦截来自客户端 Linux 机器（Mint、Ubuntu、OpenSuse）的所有 HTTP 请求。我正在使用 ZAP 攻击代理。单独配置 Web 浏览器和客户端应用程序以使用 ZAP Attack 作为代理对我来说不是一个选项。最好它必须以类似 Fiddler 的方式捕获所有请求，无需配置或配置最少。

如何将 ZAP 攻击配置为系统范围的代理？

通过 ZAP 扫描我的应用程序时，我遇到了以下错误。

当我通过在 web.config 文件中添加属性启用标头属性“X-XSS-Protection”时，该错误得到解决。

但根据我的要求，我需要从网页本身执行此操作。

有没有办法从服务器或客户端站点添加标头？

我试过下面的代码，但没有用。

在源代码 ZAP 中哪里可以找到响应错误的列表或模板，例如来自测试站点的 MySQL-Error、PHP-Error？不要ZAP在结果中提到的问题。

我即将使用 ZAP 来评估我的 Web 应用程序的漏洞。我的架构是这样的，即在内部被测试的“应用程序服务器”从其他 Web 应用程序服务器调用 API。我正在克隆一个应用程序服务器来执行我的漏洞测试。我是否也应该隔离其他服务器，而它们未在测试中？ZAP 会触发会影响其他应用程序服务器的东西吗？我不太熟悉 ZAP 在“应用程序服务器”上执行的每一个测试，因此这个问题..

我正在尝试通过 ZAP API 将会话管理设置为 cookieBasedSessionManagement。

（http://localhost:9090是我的默认 zap 代理）

当我询问我应该提供的参数时，它给了我一个空数组： http://localhost:9090/JSON/sessionManagement/view/getSessionManagementMethodConfigParams/?zapapiformat=JSON&methodName=cookieBasedSessionManagement

{“方法配置参数”：[]}

但是，当我尝试调用http://localhost:9090/JSON/sessionManagement/action/setSessionManagementMethod/?zapapiformat=JSON&contextId=auto-context&methodName=cookieBasedSessionManagement&methodConfigParams=

我明白了

{"code":"missing_parameter","message":"缺少参数"}

所以我很好奇参数应该是什么 - 还是 zap api 中的错误？

我正在尝试使用 zap 代理进行主动扫描。代码如下所示：

蜘蛛正确遍历应用程序中的所有 url。然而，主动扫描只命中第一个 url 并停止。有没有办法主动扫描所有网址（或者我应该先获取蜘蛛报告，然后遍历蜘蛛报告并从蜘蛛报告中扫描每个网址）？

完整来源：

我有一个 SPA 应用程序（angularjs 前端/restfull WebAPI 后端）。SPA 是使用客户端路由设计的 - 即典型的“页面”看起来像

http://contosco.com#/page1

http://contosco.com#/page2

.. ETC

我知道 ZAP 具有“ajax spidering”模式，它可以“从 javascript”获取 url。然而，主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以在这种情况下使用 - 还是我错了？

我在基于 owasp zap 表单的身份验证方面面临障碍。我按照指导设置了 zap 属性。当我运行主动扫描时，“何时尝试登录它会给出 FORBIDDEN 错误。CSRF 令牌不可用。

Owasp ZAP 在 python 项目中使用“基于表单的身份验证”进行主动扫描期间未执行身份验证。

[ 我的目标网址是：

发布数据 ;

这是我得到的 html 响应：

我有远程机器运行带有 owaspzap 映像的 docker。当我直接连接到机器并运行命令时

我得到了默认的 zap 代理主页。但是，当我设置到机器的 ssh 隧道时（假设我将本地端口 52000 绑定到远程端口 8080）运行时出现错误

ZAP 错误 [java.net.ConnectException]：连接被拒绝

堆栈跟踪：java.net.ConnectException：在 java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:339) 在 java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java) 的 java.net.PlainSocketImpl.socketConnect(Native Method) 的连接被拒绝:200) at java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:182) at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392) at java.net.Socket.connect(Socket.java:579) at java .net.Socket.connect(Socket.java:528) 在 java.net.Socket.(Socket.java:425) 在 java.net.Socket.(Socket.java:280) 在 org.apache.commons.httpclient。 org.apache.commons.httpclient.protocol.DefaultProtocolSocketFactory 的协议.DefaultProtocolSocketFactory.createSocket(DefaultProtocolSocketFactory.java:80)。createSocket(DefaultProtocolSocketFactory.java:122) 在 org.apache.commons.httpclient.MultiThreadedHttpConnectionManager$HttpConnectionAdapter.open(MultiThreadedHttpConnectionManager.java:1361) 在 org.apache.commons.httpclient.HttpConnection.open(Unknown Source) 在 org.apache。 commons.httpclient.HttpMethodDirector.executeWithRetry(Unknown Source) at org.apache.commons.httpclient.HttpMethodDirector.executeMethod(Unknown Source) at org.apache.commons.httpclient.HttpClient.executeMethod(HttpClient.java:397) at org.parosproxy .paros.network.HttpSender.executeMethod(Unknown Source) at org.parosproxy.paros.network.HttpSender.runMethod(Unknown Source) at org.parosproxy.paros.network.HttpSender.send(Unknown Source) at org.parosproxy.paros .network.HttpSender.sendAuthenticated(Unknown Source) at org.parosproxy.paros.network.HttpSender.sendAndReceive(Unknown Source) at org.parosproxy.paros.network.HttpSender.sendAndReceive(Unknown Source) at org.parosproxy.paros.core.proxy.ProxyThread.processHttp(Unknown Source) at org. parosproxy.paros.core.proxy.ProxyThread.run(Unknown Source) at java.lang.Thread.run(Thread.java:745)

我错过了什么？

我正在从 docker 映像 (owasp/zap2docker) https://hub.docker.com/r/owasp/zap2docker-stable/运行 ZAP 攻击代理

我定期遇到这个错误（一旦它第一次发生，一切都会出错）

30130034 [HSQLDB Timer @28b04679] WARN hsqldb.db..ENGINE - ScriptWriter 同步错误：java.io.SyncFailedException：在 org.hsqldb.lib.FileUtil$FileSync 的 java.io.FileDescriptor.sync（本机方法）处同步失败。 sync(Unknown Source) at org.hsqldb.scriptio.ScriptWriterBase.forceSync(Unknown Source) at org.hsqldb.scriptio.ScriptWriterBase.sync(Unknown Source) at org.hsqldb.scriptio.ScriptWriterBase.run(Unknown Source) at org. hsqldb.lib.HsqlTimer$TaskRunner.run(Unknown Source) at java.lang.Thread.run(Thread.java:745)

物理上 - 我已经检查过 - 容器和环境中都有足够的空间（大量空闲 inode，大量物理空间）。我正在运行 aws m3.large 实例（2 核，7.5GB RAM，1x32GB SSD 磁盘）。任何线索可能导致它，或如何规避该错误？