セキュリティ テストはまったく初めてなので、基本的な手順を実行してから、スパイダーとアクティブ スキャンを実行しようとしています。owasp&のビデオをいくつか見てyoutube、含まれている ZAP ドキュメントの意味を理解しようとしました。ただし、スパイダー クロールまたはアクティブ スキャンを実行している間は、ZAP はログインしていないと思います。
私のアプリケーションはJava+Vaadin & Springベースのアプリケーションであり、POST URL はどのようなリクエストを行っても変更されません。リクエストパラメータが変わるだけです。POST URL は常に
http://example.com/UIDL/?v-uiId=0
利用した
- スパイダー/アクティブ スキャンを実行する前に、HTTP セッションでアクティブ セッションを設定します。
- コンテキストをセットアップしました (ただし、[サイト] の下に表示される URL はほとんどありません)。
- また、URL で確認できる「ページ」、「UIDL」などの単語で構造パラメーターを更新しようとしました。
- ログアウト URL も除外しようとしましたが、すべての POST URL が同じであるため、その場合、スパイダーとアクティブ スキャンは実際には何もしません。
- 右クリックすると、リクエストをフォームベース認証として選択するオプションが表示されました。
私もそれを試しましたが、「ログインリクエストPOSTデータ」に次のような値が入力されます
12929ddf-5d7f-4264-b810-2fa8f38eca6f[["597","v","v",["pagelength",["i","28"]]],["597","v"," v",["firstToBeRendered",["i","0"]]],["597","v","v",["lastToBeRendered",["i","26"]]], ["597","v","v",["reqfirstrow",["i","15"]]],["597","v","v",["reqrows",[" i","12"]]]]
ユーザー名/パスワードフィールドにまったく同じものを入力します。
XSRF最後にもう 1 つ、アプリケーションで ZAP を適切に使用できるようにするために、本当に を無効にする必要があるのJava/Vaadinでしょうか?
私は単にそれを機能させ、そこから学び続けようとしています。誰かが正しい設定で私を助けてくれれば幸いです。
