問題タブ [zap]

私のシナリオ:

ログインページに移動します。既知のユーザー名と間違ったパスワードを入力しました。ZAP はこれを問題なく取り上げます。

ログインページへの POST を選択します。ユーザー名とパスワードを含む行を見つけました。パスワード: ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&

12345 を強調表示し、右クリックして Fuzz を選択します。テスト アカウントの正しいパスワードを含むカスタム リストを作成し、それを選択しました。

私がそうするとき、それは私が期待したようにリストを通り抜けます。12345 をリスト内のさまざまなオプションに変更します。

しかし、単語に到達すると、I KNOW が正しいパスワードです。それが正しかったことを私に警告するのと同じことです。この場合のパスワードは Password5 でした。私はそれが反映されるか、それを示す何かが新しいページに向けられていることを期待していました. しかし、それはテストユーザーにとって正しくない「パスワード」で発生します。

[Fuzzer] タブに次のように表示されます。

アプリケーションに対して OWASP ZAP スキャン ツールを実行した後、ツールが次の文字列で攻撃したときに、多数の XSS 脆弱性が確認されました。

また

したがって、そのような文字列はサーバーの応答に表示されます。ブラウザでは何もしませんが。Htmlタグに追加の属性を挿入しようとしているのかもしれませんが、問題を解決するにはどうすればよいですか?

ビルド サーバー (Windows 2008 R2) と Windows 7 デスクトップに ZAP をインストールしましたが、Zap がたまにしか起動しません。プログラムをクリックすると、カーソルが 1 ～ 2 秒待っていることを示し、その後何も表示されません。コマンドラインから実行しようとしても、実行の兆候は見られません。その後、突然プログラムが起動する場合があります。開始するのに永遠にかかる可能性はありますか？コンピューターを実行したままにして、翌日仕事に来たとき、そこには UI がありました。ヘッドレス状態でプログラムを実行しようとすると、同じ結果が得られます。-daemon フラグを使用します。アプリケーションまたはプロセスとして、起動せず、タスクマネージャーに表示されません

ありがとうノエル

Shibboleth の SingleSingOut(SSO) を使用して認証を行います。Shibboleth は、私たちのプロジェクトに統合されたオープンソース プロジェクトです。ユーザーが認証されていない場合、Shibboleth は login.jsp ページにリダイレクトします。したがって、フォーム actionUrl は、認証を実行するために Shibboleth IDP (ID プロバイダー) によって送信される必要があります。以下は、Shibboleth が提供したサンプル コードです。

ここで、OWASP ZAP ツールを使用してセキュリティ攻撃を確認しました。以下のコードで高リスクを発生させました

XSS (クロスサイト スクリプティング) 攻撃の可能性があるとのことで、上記のコードをエンコードするように求められました。

フォーム アクション URL の XSS (クロス サイト スクリプティング) を防ぐにはどうすればよいですか。信頼できないデータであるため、URL をエンコードする方法はありません。いくつかの調査の結果、ESAPI.encoder().encodeForURL('url'); を使用する方が良いことがわかりました。方法。私の疑問は、フォームアクション URL に ESAPI.encoder().encodeForURL('url') を使用する正しい方法ですか?

Cross_Site_Scripting Prevention Cheat sheetから

実際のフォーム アクション URL:

エンコードされたフォーム アクション URL:

任意の提案をいただければ幸いです。

私の Web サイトに 1 つの XSS 脆弱性が見つかりました。脆弱性スキャンに ZAP を使用しています。ZAP から、文字列のアラートを示すアラートを見つけました"><script>alert(1);</script> 。

そして、それが言及しているパスは、私のウェブサイトの登録ページです。そのページにはいくつかのドロップダウンがあります。

例: 国を選択するドロップダウンで、すべての国のオプションを保持しました。間違ったテキストの場合は「一致が見つかりません」。

そのドロップダウンでXSSを実行したい場合、文字列を入力すると"><script>alert(1);</script>

「一致が見つかりません」というエラーが表示されます。

string を入力したときにアラートを正常に取得する方法を教えてください"><script>alert(1);</script>。

私の質問は非常に簡単です。この 2 つの URL 以外のすべてをプロキシから除外したいのですが、1 つのサイトのトラフィックを確認したいだけです。

http://www.timetosa.comとhttps://www.timetosa.com

これは、Exclude from Proxy セクションで成功せずに挿入した REG です。

私はクライアントの Web アプリケーションを SQLi テストしており、そのために OWASP ZAP を使用しています。注入された値を受け取る Web ページは常に JSON 応答 (HTTP ステータス コードは 200 OK のまま) によってユーザーをリダイレクトするため、Jython ベースのスクリプトを開発して、ツールが json-provided に要求を発行するようにしようとしています。リダイレクト URL。

問題は、ZAP の内部構造に関するドキュメントがややこしいことです...「スクリプト」タブで参照する方法がわかりません。

次の「プロキシ」スクリプトを試しました。

しかし、私が得るのはjava.lang.reflect.UndeclaredThrowableExceptionエラーだけです。「出力」タブが空で、他の情報が見つかりませんでした。これを解決する方法を知っている人はいますか、またはこれを達成するのに役立つ他のドキュメントまたは jython サンプル スクリプトをどこで見つけることができますか?