4

私のシナリオ:

ログインページに移動します。既知のユーザー名と間違ったパスワードを入力しました。ZAP はこれを問題なく取り上げます。

ログインページへの POST を選択します。ユーザー名とパスワードを含む行を見つけました。パスワード: ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&

12345 を強調表示し、右クリックして Fuzz を選択します。テスト アカウントの正しいパスワードを含むカスタム リストを作成し、それを選択しました。

私がそうするとき、それは私が期待したようにリストを通り抜けます。12345 をリスト内のさまざまなオプションに変更します。

しかし、単語に到達すると、I KNOW が正しいパスワードです。それが正しかったことを私に警告するのと同じことです。この場合のパスワードは Password5 でした。私はそれが反映されるか、それを示す何かが新しいページに向けられていることを期待していました. しかし、それはテストユーザーにとって正しくない「パスワード」で発生します。

[Fuzzer] タブに次のように表示されます。 ここに画像の説明を入力

4

1 に答える 1

11

OK、あなたが提起している最初のポイントは、あなたが無効なパスワードを試みたことを ZAP が認識しないということだと思います。これはセキュリティ リスクではありません。間違ったパスワードを入力したため、アプリにアクセスできませんでした。すべて正常に機能しています。

ZAP は、アクティブまたはパッシブ スキャナーを介して脆弱性を警告するだけです。ファザーは手動テスト用です。脆弱性の検出を自動化する方法を見つけたら、それをアクティブまたはパッシブ スキャナーに入れます:) したがって、ZAP にそれを期待するのではなく、ファザーの結果を解釈する必要があります。いずれにせよ、ログインに成功することは脆弱性ではありません (ZAP 用語で言えば)。

ファザーは、指定した文字列が応答に含まれているかどうか (XSS を探すときに役立ちます)、応答コード、所要時間、および応答の長さを教えてくれます。

ログインすると、応答の長さが大幅に異なることが予想されるため、1 つのオプションは、他の応答とは大幅に異なる長さの応答を探すことです。

ただし、おそらく最も簡単なオプションは、ファズの結果を検索することです。これを行うには、[検索] タブに移動し、プルダウンで [ファズ結果] を選択し、ログインに成功したときに表示されることがわかっている文字列を検索するか、表示されることがわかっている文字列を逆検索します。ログインに失敗したとき。

それは役に立ちますか?

ZAP wiki には、ビデオ、FAQ などを含む多くの情報があることに注意してください: http://code.google.com/p/zaproxy/wiki/Introduction

ところで、まさにこのような質問を目的とした ZAP ユーザー グループがあります 。 . 私はフォーラムに目を光らせようとしていますが、フォーラムが多すぎて、いくつかの質問がすり抜けてしまうことは必至です。

このような汎用フォーラム (他の質問に非常に役立つ) の代わりに、ZAP ユーザー グループ (すべての ZAP 開発者が購読している) を使用するように人々を説得する方法を誰かが提案できる場合は、非常に感謝します :)

サイモン (ZAP プロジェクト リーダー)

于 2013-12-31T14:14:02.193 に答える