کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
یک شبکه WiFi (خصوصی و با رمز محافظت شده) (تحت کنترل من نیست) که در ابتدا برای لپ تاپ من کار نکرده بود، تا زمانی که من گزینه ای را که باعث استفاده از سرور DNS Google شد، غیرفعال کرد
[*] بدین معنی است که لپ تاپ به شبکه متصل شده است، اما دسترسی به اینترنت ندارد. 
پیامدهای امنیتی / حریم خصوصی، اگر وجود دارد، از استفاده از یکی یا دیگری چیست؟ آیا این نشانه ای است که ماهیچه ای در حال انجام است اگر 8.8.8.8 کار نمی کند؟
دو مجموعه از ZAP و Selenium، محلی و Jenkins
را دارد.
من می توانم ZAP را شروع کنم، یک پروسس سلنیوم را با ZAP به عنوان یک پروکسی اجرا کنم، سپس عنکبوت را شروع کنم و سپس ZAP را در حالت حمله قرار دهم. این موضوع چندین مسئله را مطرح می کند.
در جنکینز، من یک کار ساختم که ZAP را به عنوان یک مرحله از پیش ساخته شروع می کند، فرایند سلنیوم را از طریق ZAP به عنوان یک پروکسی به عنوان گام ساخت و سپس اجرای عنکبوت و اسکن فعال به عنوان یک گام بعد از ساخت. (من یک رویکرد بسیار شبیه به این را دنبال می کنم: https://wiki.jenkins.io/display/JENKINS/Execute+ZAP+as+part+of+a+Selenium+Build)
رویکرد دوم به مراتب کمتر اشتباهات از رویکرد محلی. چرا اینطور است؟
در بازرسی بیشتر، به نظر میرسد که ZAP هر نشانی اینترنتی که سلنیوم از طریق ZAP به عنوان یک پروکسی دسترسی پیدا میکند، اسکن نمیکند. به نظر می رسد URL هایی که سلنیوم دسترسی پیدا می کنند را به یاد نمی آورد و به آنها اسکن نمی کند. اما چرا این اتفاق می افتد؟ آیا در پلاگین رسمی ZAP وجود دارد که من از دست رفته ام که این را تعیین می کند؟
برای برخی از اطلاعات اضافی، برنامه ای که آزمایش می کنم در Tomcat اجرا می شود. به نظر می رسد ZAP به آدرس هایی که برای Tomcat خاص هستند حمله می کند، مانند http: // [IP_Address]: [Port] /docs/default-servlet.html. با این حال، به غیر از آن، به نظر می رسد فقط به آن سایت هایی که به طور صریح در متن آمده اند (به عنوان مثال http: // [IP_Address]: [Port]) حمله می کنند. حداقل آن را نشان می دهد آسیب پذیری مربوط به این است.
همچنین ممکن است برای من در Jenkins، دیدن لیست کامل از تمام درخواست های ساخته شده به عنوان بخشی از اسکن فعال، درست همانطور که من می توانم در ZAP محلی من ؟
من دوست دارم در دیتابیس های نشت یافته براساس نام دامنه مرتبط با آدرس ایمیل نشت پیدا کنم. پایگاه های داده های عمومی مانند https://haveibeenpwned.com/ این توانایی را دارند تا حدی. جستجو تنها زمانی ممکن است که آدرس ایمیل کامل شناخته شده باشد یا حوزه تأیید شده باشد.
به نظر می رسد که این ویژگی Hasibeenpwned.com را ارائه نمی کند، اگرچه درخواست ویژگی مربوطه را در اینجا پیدا کردم: https://haveibeenpwned.uservoice.com/ forums / 275398-general / suggestions / 19170856-add-domain-search-function-to-api-functions که ظاهرا به علت تعداد کم شمارش آرا به نظر نمی رسد بسیار محبوب هستند. هر چند رأی دادن را رد کنید
آیا سرویس دیگری (API) شناخته شده است که قابلیت جستجوی حساب های نشت شده بر اساس نام دامنه را فراهم می کند؟
من علاقه مند به گزینه جمع آوری، نمایه سازی و تجزیه و تحلیل پایگاه های داده شده به اندازه کافی هستم.
