问题标签 [zap]

使用 OWASP Zap 进行的渗透测试发现了许多路径遍历“漏洞”，但要么报告没有告诉我整个故事，要么它们对我来说似乎完全安全。例如：

“2”是调用实体的id，我们的系统需要。很多地方显然都在使用同样的东西，但这是 Zap 唯一一次抱怨。它找到了一些示例，通常通过将 2 替换为另一个整数，或者在另一个参数“PressContacts”中传递一个完全有效的字符串。

在 MVC 中，这些绑定到整数和整数列表，据我所知，这些都是经过清理的。

我怎样才能确切地找出问题所在，或者告诉 Zap 它在叫错树？我们有不同的 MVC 操作来响应 GET 和 POST，报告并不清楚它击中的是哪一个。

如果我遗漏了一些非常明显的东西，请提前道歉。这是我第一次使用 Zap，所以也许我完全误解了一些东西。

我想使用ZAP API对许多不同的 Web 应用程序执行经过身份验证的扫描。这些 Web 应用程序每个都有不同的登录机制，我不想通过许多不同的表单执行繁琐的登录过程，每个表单都需要手动配置。

更简单的解决方案是为每个应用程序使用 HTTP 会话 cookie 来执行这些经过身份验证的扫描，但是如果不创建与关联用户的上下文，我看不到执行此操作的机制。

我试图通过 http 会话添加一个新会话，尽管它们不适合这个用例：

但是，在执行扫描时，任何手动添加的 cookie 都不会添加到对服务器的后续请求中。

例如，当执行爬虫时，会话信息被忽略：

是否可以通过 ZAP API 将 cookie 添加到请求中来执行扫描？

或者是为我要登录和扫描的每个网站手动添加表单数据和上下文的唯一选项？

我只是想知道我们能否将其他工具（例如 OWASP ZAP）集成到 Nightwatch.js 中以执行自动化安全测试。例如，通过 nightwatch.js 启动浏览器，然后运行/调用 ZAP 脚本。

谢谢和问候， 阿米特

我正在寻找一种如何通过 api 添加自定义忽略参数的方法。此 UI 屏幕的 IE api 等效项

我正在使用登录凭据测试扫描站点。

正常情况下，从终端使用此命令 zap.sh -cmd -quickurl http://example.com

登录扫描命令是什么？

作为安全测试的新手，我正在尝试运行基本步骤，然后尝试运行爬虫和主动扫描。我看过owasp&的几个视频，youtube并试图理解包含的 ZAP 文档。但是，我认为 ZAP 在进行蜘蛛爬行或主动扫描时并未登录。

我的是一个基于Java+Vaadin & Spring的应用程序，POST URL 在发出任何类型的请求时都不会改变。只是请求参数发生了变化。POST URL 总是

http://example.com/UIDL/?v-uiId=0

我用过

• 在运行蜘蛛/主动扫描之前，在 HTTP 会话下设置活动会话
• 已设置上下文（尽管站点下出现的 URL 很少），
• 我还尝试使用“page”、“UIDL”等字词更新结构参数，我可以在 URL 中看到这些字词
• 我也尝试排除注销 URL，但由于所有 POST URL 都是相同的，在这种情况下，蜘蛛和主动扫描实际上并没有做任何事情。
• 在右键单击时，我可以选择将请求选择为基于表单的身份验证。

我也试过了，但是，它用类似的值填充“登录请求 POST 数据”

12929ddf-5d7f-4264-b810-2fa8f38eca6f[["597","v","v",["pagelength",["i","28"]]],["597","v"," v",["firstToBeRendered",["i","0"]]],["597","v","v",["lastToBeRendered",["i","26"]]], ["597","v","v",["reqfirstrow",["i","15"]]],["597","v","v",["reqrows",[" i","12"]]]]

并用完全相同的方式填充用户名/密码字段。

最后一件事，我们真的需要禁用XSRFZAP 才能正确使用Java/Vaadin应用程序吗？

我只是想让它工作，然后从那里继续学习。如果有人可以帮助我进行正确的设置，将不胜感激。

我刚刚开始使用 Zap，并在 Firefox 和 Chrome 中成功运行它。

我也想用它来自动为非 https 站点提供 SSL 证书。

例如，我希望它能够服务

http://example.com

作为

https://example.com

即使 example.com 通常不会提供 SSL 证书。

这将允许我测试本地开发站点，而无需为它们创建自签名证书，也不必使用网络服务器配置证书。

我尝试将我的开发端口（18000）端口转发到端口 443，但我的网络服务器没有提供 SSL 证书，并且连接失败。我也尝试过使用sni terminator zap 插件，但没有成功，虽然感觉非常接近！

有什么建议么？

我是 OWASP ZAP 的新手，所以我需要你的帮助。

我有漏洞站点 - DVWA。我正在尝试以暴力破解令牌（CSRF）。

当页面加载时，我有带有登录名、密码和用户令牌的 HTML 表单。第三个字段由动态令牌（CSRF）填充。

我需要对 CSRF 令牌使用蛮力。

1) 从加载的页面接收 user_token 2) 通过 Fuzzer 发送表单

据我了解，我需要创建用于从加载页面接收 user_token 的脚本，然后在授权链接上运行 Attak -> Fuzz，然后选择 user_token 值并添加将在每个请求中填充它的 playload 脚本。

但是我在互联网上找不到任何关于如何创建这个脚本的信息，请帮助我。

我想知道 OWASP 前 10 名 (A1-A10) 中哪些都可以自动化。是否可以使用 Selenium 自动化他们的测试，如果不能，可以使用哪个工具来自动化它们？还有可以遵循或参考的任何文件或指南或任何示例。

提前致谢。

我正在尝试通过 ZAP 代理工具代理我的浏览器流量。我已经根据 ZAP 网站上的用户文档设置了我的浏览器代理，并且与下面帖子中的说明相同。我试图扫描的网站只是挂在登录页面上，但是一旦我禁用代理，一切正常。此外，查看 Firefox 或 Chrome 开发工具中的网络流量，它会显示“Waiting for fonts.googleapis.com”。我检查或尝试的任何想法？我尝试了 4 种不同的浏览器

在 ZAP 工具中添加身份验证以攻击 URL