问题标签 [zap]

我有排除正则表达式（推理 - 我不想包含 .js 和 .css 文件）：

这些已正确设置为上下文：

/JSON/context/view/excludeRegexs/?zapapiformat=JSON&contextName=auto-context

但是，一旦我运行蜘蛛并查询蜘蛛结果

/JSON/spider/view/fullResults/?zapapiformat=JSON&scanId=0

我仍然看到很多 .js 和 .css 文件

还有一种方法可以在不实际运行扫描的情况下以某种方式测试正则表达式吗？

我在运行 zap docker 命令时无法生成 .xml 报告。他们有什么方法可以使用 zap docker 生成 .xml 格式的报告。

这是我正在运行的 .html 格式的 zap docker 命令。

我在某个地方找到，对于 xml，我们只需要更改文件格式。然后我使用下面的命令来处理不工作的 xml 格式：

请帮我生成 .xml 报告文件。

遵循以下步骤： 1. 记录 ZEST 脚本（测试可以工作） 2. 在上下文中包含站点 3. 添加用户 4. 选择强制用户 5. 上传脚本并选择基于脚本的身份验证 6. 定义注销指示器 7. 从蜘蛛中排除注销8. 运行 Ajax 蜘蛛选择上下文和用户

我错过了什么？

我是 ZAP 2.5 的新手，目前我有这些问题尚未得到解答：

1. 可以在受保护的网站中执行 ZAP 吗？请注意，我不知道使用什么方法来保护网站。但是每当我尝试用它执行 ZAP 时，它只会检查网站的登录表单；ZAP 没有深入挖掘。知道网站受到保护是否正常？
2. 我不是在入侵网站；只是我的导师想让我知道我或 ZAP 是否有能力对我们的网站进行安全测试，即使它受到保护。真的有可能吗？如果是这样，怎么做？

我希望有人能启发我，因为到目前为止，我还没有找到任何答案。谢谢！

我找到了有关 OWASP ZAP 代理的链接：https ://www.owasp.org/index.php/Category:OWASP_Proxy

并且觉得非常有趣。

在某些情况下，我需要编写一个（mitm）服务器审计和监控网络流量并在页面中添加公司信息。

实现一个像上面 url 中描述的例子会很棒。

我还下载并使用了 ZAP 代理。这就像一个魅力。因此，我希望能够使用 ZAP 代理并在 Java 中实现我自己的请求/响应修改，或者使用 url 中提到的代码。

不幸的是，这段代码似乎是 5 年前编写的。OWASP 发布客户端 API，但不发布这个。

所以我的问题是我仍然可以使用 OWASP API 来拦截和修改代码还是应该有不同的方法？

我真的需要能够自动化转换，并且需要调用公司 Web 服务进行转换。所以我不确定脚本是否足够。Java会很棒。

我猜 ZAP Proxy 应该自己使用这些库。所以我想知道它们是否可以在独立的 java 程序中重用。

您对此有何看法？

非常感谢

吉尔斯

是否有人知道如何解决通过 ZAP 扫描 Azure blob 存储所带来的以下安全问题：

1. 远程操作系统命令注入： https://<xxx>.blob.core.windows.net/00d36000000tnwaeaa/06836000000kUsRAAU?sv=2014-02-14&sr=b&sig=<yyy>%3D&se=2016-10-07T07%3A25%3A13Z&sp=rw%3Bstart-sleep+-s+5.

   Azure 需要“sp”参数，但是可以通过插入 OS 命令来劫持，如上所示。有没有办法在 Azure 中解决这个问题。我还没有找到。

2. 使用 Azure blob 服务器设置以下内容的方法是什么 - X-Frame-Options 标头未设置、不完整或没有缓存控制和 Pragma HTTP 标头设置、未启用 Web 浏览器 XSS 保护

请帮助我，因为我的 Azure Web 服务未能通过上述 ZAP 扫描。

我最近开始使用 Jenkins 的 Zap 代理插件。我正在使用 ZAP 2.5.0 版。我已经设法在 Jenkins 中配置了这个插件。有什么方法可以为 AJAX Spider URL 选择不同的浏览器（而不是默认的 Firefox）？在 Zap 的独立版本中，可以选择不同的浏览器。

如果我使用 Firefox（版本 49），我会收到以下错误。因此，在从 Jenkins 运行时，我打算使用 phantomjs 或 htmlunit。

我们的客户要求我们针对我们的 Web 应用程序（ASP.NET 4.5.2、Webforms）运行 OWASP ZAP 工具，我们在报告中不能有任何高优先级的发现。

我们已经完成了分析，OWASP ZAP 报告了两个最有可能是“误报”的漏洞：

• 远程操作系统命令执行
• SQL注入

远程操作系统命令执行似乎是虚假的，因为我们没有在任何地方执行任何操作系统命令 - 那么任何攻击者如何获得我们的代码以在远程机器上执行他的命令？

而且 SQL 注入似乎非常虚假，因为我们在任何地方都使用实体框架，它使用正确的参数化查询，这是反对任何 SQL 注入的黄金标准......

其他人是否对 OWASP ZAP 有过这种“误报”？是否有任何“已知问题”记录在我们可以用来证明该工具错误的任何地方 - 而不是我们的代码？

我正在尝试使用 OWASP ZAP 代理与我维护的网站的连接。但是，尽管代理正在为其他站点（https 和 http）连接到我实际要分析的站点，但仅返回 502 - Bad gateway 消息，其中包含以下文本：

我通过浏览器请求的 URL 在不通过 OWASP ZAP 代理时可以正常工作，并且 ZAP 捕获的请求标头在作为 Raw 复制并粘贴到 Fiddler 请求中时也可以正常工作，如下所示：

仅供参考，

1.) ZAP 中或我的 PC / 浏览器 / Fiddler 设置中的其他地方没有设置代理链。

2.) ZAP 代理在默认地址 localhost:8080 运行

3.) ZAP 动态证书已保存并导入测试浏览器（Firefox 开发版）

鉴于 ZAP 正在为其他网站工作，我不知道这里可能出了什么问题，有人可以帮忙吗？

ZAP HTML 报告指出 XSS 攻击：参数：用户名攻击：alert(1)；

如何修复我的 HTML，以便 ZAP 不会说我的用户名内容受到 XSS 攻击？我知道这与输入验证/白名单有关吗？

我试图遵循这个：https ://tododev.wordpress.com/2013/12/27/detecting-and-fixing-xss-using-owasp-tools/

但这让我更加困惑，而且我是初学者。