問題タブ [zap]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
owasp - OWASP の ZAP と Fuzz 機能
私のシナリオ:
ログインページに移動します。既知のユーザー名と間違ったパスワードを入力しました。ZAP はこれを問題なく取り上げます。
ログインページへの POST を選択します。ユーザー名とパスワードを含む行を見つけました。パスワード: ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&
12345 を強調表示し、右クリックして Fuzz を選択します。テスト アカウントの正しいパスワードを含むカスタム リストを作成し、それを選択しました。
私がそうするとき、それは私が期待したようにリストを通り抜けます。12345 をリスト内のさまざまなオプションに変更します。
しかし、単語に到達すると、I KNOW が正しいパスワードです。それが正しかったことを私に警告するのと同じことです。この場合のパスワードは Password5 でした。私はそれが反映されるか、それを示す何かが新しいページに向けられていることを期待していました. しかし、それはテストユーザーにとって正しくない「パスワード」で発生します。
[Fuzzer] タブに次のように表示されます。
javascript - OWASP ZAP が報告した "alert(1);" を解決する方法 XSS の脆弱性
アプリケーションに対して OWASP ZAP スキャン ツールを実行した後、ツールが次の文字列で攻撃したときに、多数の XSS 脆弱性が確認されました。
また
したがって、そのような文字列はサーバーの応答に表示されます。ブラウザでは何もしませんが。Htmlタグに追加の属性を挿入しようとしているのかもしれませんが、問題を解決するにはどうすればよいですか?
owasp - Zed Attack Proxy (ZAP) が起動しない理由
ビルド サーバー (Windows 2008 R2) と Windows 7 デスクトップに ZAP をインストールしましたが、Zap がたまにしか起動しません。プログラムをクリックすると、カーソルが 1 ~ 2 秒待っていることを示し、その後何も表示されません。コマンドラインから実行しようとしても、実行の兆候は見られません。その後、突然プログラムが起動する場合があります。開始するのに永遠にかかる可能性はありますか?コンピューターを実行したままにして、翌日仕事に来たとき、そこには UI がありました。ヘッドレス状態でプログラムを実行しようとすると、同じ結果が得られます。-daemon フラグを使用します。アプリケーションまたはプロセスとして、起動せず、タスクマネージャーに表示されません
ありがとうノエル
javascript - フォーム アクション URL の XSS を防止するにはどうすればよいですか?
Shibboleth の SingleSingOut(SSO) を使用して認証を行います。Shibboleth は、私たちのプロジェクトに統合されたオープンソース プロジェクトです。ユーザーが認証されていない場合、Shibboleth は login.jsp ページにリダイレクトします。したがって、フォーム actionUrl は、認証を実行するために Shibboleth IDP (ID プロバイダー) によって送信される必要があります。以下は、Shibboleth が提供したサンプル コードです。
ここで、OWASP ZAP ツールを使用してセキュリティ攻撃を確認しました。以下のコードで高リスクを発生させました
XSS (クロスサイト スクリプティング) 攻撃の可能性があるとのことで、上記のコードをエンコードするように求められました。
フォーム アクション URL の XSS (クロス サイト スクリプティング) を防ぐにはどうすればよいですか。信頼できないデータであるため、URL をエンコードする方法はありません。いくつかの調査の結果、ESAPI.encoder().encodeForURL('url'); を使用する方が良いことがわかりました。方法。私の疑問は、フォームアクション URL に ESAPI.encoder().encodeForURL('url') を使用する正しい方法ですか?
Cross_Site_Scripting Prevention Cheat sheetから
実際のフォーム アクション URL:
エンコードされたフォーム アクション URL:
任意の提案をいただければ幸いです。
html - Web ページのドロップダウンに xss 攻撃文字列を挿入する方法は?
私の Web サイトに 1 つの XSS 脆弱性が見つかりました。脆弱性スキャンに ZAP を使用しています。ZAP から、文字列のアラートを示すアラートを見つけました"><script>alert(1);</script>
。
そして、それが言及しているパスは、私のウェブサイトの登録ページです。そのページにはいくつかのドロップダウンがあります。
例: 国を選択するドロップダウンで、すべての国のオプションを保持しました。間違ったテキストの場合は「一致が見つかりません」。
そのドロップダウンでXSSを実行したい場合、文字列を入力すると"><script>alert(1);</script>
「一致が見つかりません」というエラーが表示されます。
string を入力したときにアラートを正常に取得する方法を教えてください"><script>alert(1);</script>
。
regex - OWASP Zapプロキシで指定されたURL以外のすべてを除外
私の質問は非常に簡単です。この 2 つの URL 以外のすべてをプロキシから除外したいのですが、1 つのサイトのトラフィックを確認したいだけです。
http://www.timetosa.com
とhttps://www.timetosa.com
これは、Exclude from Proxy セクションで成功せずに挿入した REG です。
jython - OWASP ZAP - jython スクリプトのドキュメント
私はクライアントの Web アプリケーションを SQLi テストしており、そのために OWASP ZAP を使用しています。注入された値を受け取る Web ページは常に JSON 応答 (HTTP ステータス コードは 200 OK のまま) によってユーザーをリダイレクトするため、Jython ベースのスクリプトを開発して、ツールが json-provided に要求を発行するようにしようとしています。リダイレクト URL。
問題は、ZAP の内部構造に関するドキュメントがややこしいことです...「スクリプト」タブで参照する方法がわかりません。
次の「プロキシ」スクリプトを試しました。
しかし、私が得るのはjava.lang.reflect.UndeclaredThrowableException
エラーだけです。「出力」タブが空で、他の情報が見つかりませんでした。これを解決する方法を知っている人はいますか、またはこれを達成するのに役立つ他のドキュメントまたは jython サンプル スクリプトをどこで見つけることができますか?