问题标签 [zap]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
390 浏览

configuration - 将 Zap Attack 配置为系统范围的代理

我需要一种简单的方法来拦截来自客户端 Linux 机器(Mint、Ubuntu、OpenSuse)的所有 HTTP 请求。我正在使用 ZAP 攻击代理。单独配置 Web 浏览器和客户端应用程序以使用 ZAP Attack 作为代理对我来说不是一个选项。最好它必须以类似 Fiddler 的方式捕获所有请求,无需配置或配置最少。

如何将 ZAP 攻击配置为系统范围的代理?

0 投票
0 回答
1324 浏览

javascript - ZAP 错误:未启用 Web 浏览器 XSS 保护

通过 ZAP 扫描我的应用程序时,我遇到了以下错误。

当我通过在 web.config 文件中添加属性启用标头属性“X-XSS-Protection”时,该错误得到解决。

但根据我的要求,我需要从网页本身执行此操作。

有没有办法从服务器或客户端站点添加标头?

我试过下面的代码,但没有用。

0 投票
1 回答
436 浏览

zap - OWASP ZAP - 错误信息列表

在源代码 ZAP 中哪里可以找到响应错误的列表或模板,例如来自测试站点的 MySQL-Error、PHP-Error?不要ZAP在结果中提到的问题。

0 投票
1 回答
73 浏览

owasp - 针对应用服务器网络的 OWASP ZAP 应用安全测试

我即将使用 ZAP 来评估我的 Web 应用程序的漏洞。我的架构是这样的,即在内部被测试的“应用程序服务器”从其他 Web 应用程序服务器调用 API。我正在克隆一个应用程序服务器来执行我的漏洞测试。我是否也应该隔离其他服务器,而它们未在测试中?ZAP 会触发会影响其他应用程序服务器的东西吗?我不太熟悉 ZAP 在“应用程序服务器”上执行的每一个测试,因此这个问题..

0 投票
1 回答
77 浏览

owasp - cookieBasedSessionManagement 参数

我正在尝试通过 ZAP API 将会话管理设置为 cookieBasedSessionManagement。

http://localhost:9090是我的默认 zap 代理)

当我询问我应该提供的参数时,它给了我一个空数组: http://localhost:9090/JSON/sessionManagement/view/getSessionManagementMethodConfigParams/?zapapiformat=JSON&methodName=cookieBasedSessionManagement

{“方法配置参数”:[]}

但是,当我尝试调用http://localhost:9090/JSON/sessionManagement/action/setSessionManagementMethod/?zapapiformat=JSON&contextId=auto-context&methodName=cookieBasedSessionManagement&methodConfigParams=

我明白了

{"code":"missing_parameter","message":"缺少参数"}

所以我很好奇参数应该是什么 - 还是 zap api 中的错误?

0 投票
1 回答
942 浏览

owasp - 如何主动扫描(ascan)多个网址

我正在尝试使用 zap 代理进行主动扫描。代码如下所示:

蜘蛛正确遍历应用程序中的所有 url。然而,主动扫描只命中第一个 url 并停止。有没有办法主动扫描所有网址(或者我应该先获取蜘蛛报告,然后遍历蜘蛛报告并从蜘蛛报告中扫描每个网址)?

完整来源:

0 投票
1 回答
3529 浏览

single-page-application - ZAP 可以用于 SPA 应用吗

我有一个 SPA 应用程序(angularjs 前端/restfull WebAPI 后端)。SPA 是使用客户端路由设计的 - 即典型的“页面”看起来像

http://contosco.com#/page1

http://contosco.com#/page2

.. ETC

我知道 ZAP 具有“ajax spidering”模式,它可以“从 javascript”获取 url。然而,主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以在这种情况下使用 - 还是我错了?

0 投票
1 回答
2386 浏览

security - Owasp ZAP 在 python 项目中使用“基于表单的身份验证”的主动扫描期间未执行身份验证

我在基于 owasp zap 表单的身份验证方面面临障碍。我按照指导设置了 zap 属性。当我运行主动扫描时,“何时尝试登录它会给出 FORBIDDEN 错误。CSRF 令牌不可用。

Owasp ZAP 在 python 项目中使用“基于表单的身份验证”进行主动扫描期间未执行身份验证。

[这是我的 ZAP 屏幕 我的目标网址是:

发布数据 ;

这是我得到的 html 响应:

0 投票
2 回答
1426 浏览

zap - 通过 ssh 隧道的 OWASP ZAP 代理

我有远程机器运行带有 owaspzap 映像的 docker。当我直接连接到机器并运行命令时

我得到了默认的 zap 代理主页。但是,当我设置到机器的 ssh 隧道时(假设我将本地端口 52000 绑定到远程端口 8080)运行时出现错误

ZAP 错误 [java.net.ConnectException]:连接被拒绝

堆栈跟踪:java.net.ConnectException:在 java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:339) 在 java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java) 的 java.net.PlainSocketImpl.socketConnect(Native Method) 的连接被拒绝:200) at java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:182) at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392) at java.net.Socket.connect(Socket.java:579) at java .net.Socket.connect(Socket.java:528) 在 java.net.Socket.(Socket.java:425) 在 java.net.Socket.(Socket.java:280) 在 org.apache.commons.httpclient。 org.apache.commons.httpclient.protocol.DefaultProtocolSocketFactory 的协议.DefaultProtocolSocketFactory.createSocket(DefaultProtocolSocketFactory.java:80)。createSocket(DefaultProtocolSocketFactory.java:122) 在 org.apache.commons.httpclient.MultiThreadedHttpConnectionManager$HttpConnectionAdapter.open(MultiThreadedHttpConnectionManager.java:1361) 在 org.apache.commons.httpclient.HttpConnection.open(Unknown Source) 在 org.apache。 commons.httpclient.HttpMethodDirector.executeWithRetry(Unknown Source) at org.apache.commons.httpclient.HttpMethodDirector.executeMethod(Unknown Source) at org.apache.commons.httpclient.HttpClient.executeMethod(HttpClient.java:397) at org.parosproxy .paros.network.HttpSender.executeMethod(Unknown Source) at org.parosproxy.paros.network.HttpSender.runMethod(Unknown Source) at org.parosproxy.paros.network.HttpSender.send(Unknown Source) at org.parosproxy.paros .network.HttpSender.sendAuthenticated(Unknown Source) at org.parosproxy.paros.network.HttpSender.sendAndReceive(Unknown Source) at org.parosproxy.paros.network.HttpSender.sendAndReceive(Unknown Source) at org.parosproxy.paros.core.proxy.ProxyThread.processHttp(Unknown Source) at org. parosproxy.paros.core.proxy.ProxyThread.run(Unknown Source) at java.lang.Thread.run(Thread.java:745)

我错过了什么?

0 投票
2 回答
100 浏览

docker - ZAP ScriptWriter 同步错误

我正在从 docker 映像 (owasp/zap2docker) https://hub.docker.com/r/owasp/zap2docker-stable/运行 ZAP 攻击代理

我定期遇到这个错误(一旦它第一次发生,一切都会出错)

30130034 [HSQLDB Timer @28b04679] WARN hsqldb.db..ENGINE - ScriptWriter 同步错误:java.io.SyncFailedException:在 org.hsqldb.lib.FileUtil$FileSync 的 java.io.FileDescriptor.sync(本机方法)处同步失败。 sync(Unknown Source) at org.hsqldb.scriptio.ScriptWriterBase.forceSync(Unknown Source) at org.hsqldb.scriptio.ScriptWriterBase.sync(Unknown Source) at org.hsqldb.scriptio.ScriptWriterBase.run(Unknown Source) at org. hsqldb.lib.HsqlTimer$TaskRunner.run(Unknown Source) at java.lang.Thread.run(Thread.java:745)

物理上 - 我已经检查过 - 容器和环境中都有足够的空间(大量空闲 inode,大量物理空间)。我正在运行 aws m3.large 实例(2 核,7.5GB RAM,1x32GB SSD 磁盘)。任何线索可能导致它,或如何规避该错误?