問題タブ [zap]

OWASP ZAP の学習を開始しましたが、OWASP ZAP のパッシブ スキャンについて混乱しています。

サイト ツリーのノードを右クリックすると、パッシブ スキャン オプションが表示されませんが、[ツール] | [ツール] の下に表示されます。オプション パッシブ スキャン ルールを表示できます。

1. OWASP ZAP でパッシブ スキャンを実行するにはどうすればよいですか?
2. クイック スタートの「攻撃する URL」は、Spidering 後のアクティブ スキャンと同じですか

ありがとう

OWSAP から ZAP ツールを実行して、アプリケーションのセキュリティの脆弱性をチェックしています。ZAP ツールは、パス トラバーサル、クロス サイト スクリプティング、OS コマンド インジェクションなどの多くの問題を報告しました。ここで、アプリケーションで OS コマンドが実行されたときに何が起こっているのか正確にはわかりませんでした。以下は、ファイルのアップロード中に報告されるプロジェクトの例です。

上記の URL では、攻撃は「filesize」パラメーターに対して実行され、攻撃は「837259|timeout /T {0}」です。OWSAP の説明によると、これが ZAP ツールによって実行されるタイムアウト コマンドであることは理解できましたが、My アプリケーションとどのように関連しているかはわかりませんでした。

それが正確に何であり、この攻撃を防ぐ方法を教えてください。

SSL を有効にした後、Web アプリケーションで ZAP プロキシを使用できません。アプリケーションは Windows 認証を使用します。SSLを有効にする前は正常に機能していました。何か案は？

ZAP を使用してトラフィックを傍受しました。

うまく機能し、次のような REQUEST - RESPONSE ペアの履歴があります。

ID が連続していないのはなぜですか?

ZAP で動的証明書を作成するオプションは利用できません。移動した可能性のある場所はどこにも見当たりませんし、Google も役に立ちません。Kali VM で実行しています。

削除されたかどうかわかる人いますか？そうでない場合、どこで/どのように入手できますか?

ありがとう。

ZAPのデフォルト ポート "8080" と "LocalHost" を使用して Google クロム ブラウザを構成しました。http リクエストを入力すると、 Look proxy settings Already in use: JVM_Bind と表示されます

システムのコマンドで確認したところ、netstat -anport 8080is Listening mode と表示されました。

また、ブラウザに証明書を追加するために追加することもできず、Google から多くのものをチェックし、ソフトウェアの再インストールも試みたので、適切な解決策を教えてください。

• Q1>起動時のJVM_Bindエラーとは？
• Q2> ブラウザで録画を開始するには？
• Q3> ZAP Toolのデフォルトのプロキシ設定を変更するオプションはありますか?
• Q4> 「https」タイプの証明書をインストールする方法を教えてください。

問題と適切な解決策を理解してください。

前もって感謝します。