نوشته‌شده در

نحوه انجام احراز هویت با ZAP زمانی که API فقط نشانه را در بدن XML می پذیرد؟

در حال حاضر در آزمایش یک برنامه زاویه ای 6 با استفاده از OWASP ZAP کار می کنم. من واقعا از این ابزار لذت می برم، اما مانند بسیاری از ما، با بخش احراز هویت مبارزه می کنیم و بدون آن کل ابزار تبدیل به یک همبرگر می شود.

مسیر ورود در localhost در / login و نقطه پایان API من https://api.mytestproject.com/auth تنها XML خام را قبول می کند مانند: 


   1.0 
  
     ...
    
       testuser 
       تست 
       blablabla 
    
     ...
  

در پاسخ من یک نشانه دریافت می کنم، اما API نیاز به فرستادن در بدن را به عنوان فیلمی از هر درخواست و نه به عنوان یک عنوان مجوز دارد

همچنین، اجرای عنکبوت نمی کند هر زمان برای ورود به صورت دستی مراجعه کنید و من نمیتوانم هیچ رشته ای برای گفتن اینکه آیا من به سیستم وارد شده یا از سیستم خارج شده ام را ارائه می دهم، زیرا برنامه زاویه ای من سرور نیست.

نوشته‌شده در

OWASP ZAP تمام آدرس ها را در Jenkins اسکن نمی کند

دو مجموعه از ZAP و Selenium، محلی و Jenkins

را دارد.

من می توانم ZAP را شروع کنم، یک پروسس سلنیوم را با ZAP به عنوان یک پروکسی اجرا کنم، سپس عنکبوت را شروع کنم و سپس ZAP را در حالت حمله قرار دهم. این موضوع چندین مسئله را مطرح می کند.

در جنکینز، من یک کار ساختم که ZAP را به عنوان یک مرحله از پیش ساخته شروع می کند، فرایند سلنیوم را از طریق ZAP به عنوان یک پروکسی به عنوان گام ساخت و سپس اجرای عنکبوت و اسکن فعال به عنوان یک گام بعد از ساخت. (من یک رویکرد بسیار شبیه به این را دنبال می کنم: https://wiki.jenkins.io/display/JENKINS/Execute+ZAP+as+part+of+a+Selenium+Build)

رویکرد دوم به مراتب کمتر اشتباهات از رویکرد محلی. چرا اینطور است؟

در بازرسی بیشتر، به نظر میرسد که ZAP هر نشانی اینترنتی که سلنیوم از طریق ZAP به عنوان یک پروکسی دسترسی پیدا میکند، اسکن نمیکند. به نظر می رسد URL هایی که سلنیوم دسترسی پیدا می کنند را به یاد نمی آورد و به آنها اسکن نمی کند. اما چرا این اتفاق می افتد؟ آیا در پلاگین رسمی ZAP وجود دارد که من از دست رفته ام که این را تعیین می کند؟

برای برخی از اطلاعات اضافی، برنامه ای که آزمایش می کنم در Tomcat اجرا می شود. به نظر می رسد ZAP به آدرس هایی که برای Tomcat خاص هستند حمله می کند، مانند http: // [IP_Address]: [Port] /docs/default-servlet.html. با این حال، به غیر از آن، به نظر می رسد فقط به آن سایت هایی که به طور صریح در متن آمده اند (به عنوان مثال http: // [IP_Address]: [Port]) حمله می کنند. حداقل آن را نشان می دهد آسیب پذیری مربوط به این است.

همچنین ممکن است برای من در Jenkins، دیدن لیست کامل از تمام درخواست های ساخته شده به عنوان بخشی از اسکن فعال، درست همانطور که من می توانم در ZAP محلی من ؟

نوشته‌شده در

قادر به دیدن درخواست WebGoat در پروکسی ZAP نیست

من ZAP را به پورت 8090 و همچنین فایرفاکس تا 8090 پیکربندی کردم، اما من نمیتوانم هیچ درخواستی از درس WebGoat ببینم، به جز درخواست اولیه http://detectportal.firefox.com. در اینجا تصویر تصویری از فایرفاکس و پروکسی ZAP اضافه شده است.

ZAP

فایرفاکس

چه چیزی از اینجا گم شده است؟ ممنون از قبل.

نوشته‌شده در

همه لیست ها را برای OWASP ZAP برای Mac از دست داده اید (مرور اجباری) – کجا لیست های .txt را پیدا کنم؟

آن را به نام سازنده نامیده می شود. من فقط نمی توانم فهرست های .txt را پیدا کنم، گرچه همه آنها در تنظیمات نمایش داده می شوند، اما من نمی توانم لیست های لیست را به تمام آن ها بازگردانم.