問題タブ [zap]

IIS でホストされているローカル Web サイトがあり、デーモン モードで実行される ZAP ツールを使用してアプリケーションをスキャンしようとしています。IIS から「匿名認証」メソッドを無効にし、有効な唯一のメソッドが「基本認証」になるまで、すべて正常に動作します。「URL の攻撃に失敗しました: 401 応答コードを受け取りました」というエラーが表示されます。

デーモン モードからログイン資格情報を送信する可能性はありますか?

コマンドは次のようになります: zap.bat -quickurl "urlToTest" -quickprogress -daemon -cmd.

QA チームから、アプリケーションが SQL インジェクションを使用して攻撃される可能性があると報告を受けました。ただし、クエリはすべて動的に作成され、Hibernate と同様のクエリを実行するために API を使用し、クエリを実行する前に常にステートメントを準備し、ストアド プロシージャは使用しません。QA チームは、ZAP を使用してアプリケーションをスキャンしています。では、ZAP SQL インジェクション アラートを回避するにはどうすればよいでしょうか?

多くの Web サイトの脆弱性を自動的かつ動的に検出するために、zapproxyの Java クライアント API を使用しています。 URL。

zapproxy の API 全体の概要、私が得たのは :

他のURLに属するものを含むすべてのアラートを削除すると思います。

では、zapproxy スキャンで指定した URL のリソースを削除するにはどうすればよいですか?

OS X で HTTP リクエストとレスポンスをキャプチャしたいと考えています。リクエストは Ruby-on-Rails サーバーから Elasticsearch サーバーに送信されているため、Chrome または別のブラウザーが提供する組み込みのログを使用できません。

Elasticsearch.yaml で、ポート 9400 を使用するように Elasticsearch を変更しました。Web ブラウザーを使用して、9200 ではなくそのポートへの要求を受け入れるようになったことを確認しました。

ZAP で、[オプション] > [ローカル プロキシ] > [ポート] を 9200 に設定しました。

私の Rails アプリはポート 9200 にメッセージを送信し続け、ZAP によってインターセプトされ、ポート 9400 の Elasticsearch に転送され、Elasticsearch が応答を ZAP に送り返し、ZAP がそれを Rails アプリに転送することを期待しています。

何が起こるかわかりません。(Rails アプリの代わりに) Web ブラウザーを使用してポート 9200 から要求しようとすると、「Bad Format」が返されます。

ZAP に対してどのような追加構成を行う必要がありますか? また、ZAP を開始するにはどうすればよいですか? リクエストをポート 9400 に転送するように指示するにはどうすればよいですか?

更新：私が求めているのは「リバースプロキシ」と呼ばれるものだと思います。

更新: OWASP の Google グループで、ZAP がリバース プロキシとして使用されていないことを知りました。インストールと使用が簡単で、機能が少ないため、理解しやすい mitmproxy を使用することになりました。

いくつかの REST API に対してセキュリティ スキャンを実行したいと考えています。これらの API は OAuth を使用し、それぞれ異なる許可タイプを使用する 2 つのセットに分けられます。

ZAP ツールを使用してセキュリティ スキャンを実行したいのですが、リクエストで使用される OAuth トークンを取得するプロセスを自動化できません。

私は SoapUI を使用して、非常にうまく機能する ZAP に API を記録しています。しかし、トークンの有効期限が切れると、SoapUI または PostMan を使用してトークンを取得した後、トークンを手動で再記録または編集する必要があります。

手順を少し詳しく説明してください。

詳細が必要な場合はお知らせください。

どんな助けでも本当に感謝します

Android アプリケーションで MiTM を処理したことがなく、脆弱性がある可能性があることはわかっています。プロキシ (ラップトップ) 経由で Android フォンを接続し、可能なツールを使用して MiTM 攻撃をチェックすることで、シナリオをテストしたいと考えています。

背景: angularjs Web ページの OWASP ZAP を使用してトラフィックをインターセプトしようとしています。分度器のドキュメントには、以下のようにプロキシ パラメータを指定する必要があると記載されています。

問題: ZAP バージョン 2.4.1 を開始すると、ZAP は API 認証を導入したため、プロキシ パラメーターで認証キーを渡してブラウザーの Desire 機能を設定する必要があります。

このシナリオでZAPにトラフィックを傍受させる方法はありますか??

'proxy': { 'proxyType': 'manual', 'httpsProxy': 'localhost:8090', //ポート 8090 で構成された ZAP 'sslProxy': 'localhost:8090' }

解決できない問題があります。我々が開発したAndroidアプリからBurpSuite/ZAPによるリクエストを追跡することは不可能ですが、アプリからリクエストが送信されていることはわかっています。

私が見つけたリクエストを追跡する唯一の方法は、別の Android アプリである Packet Capture でした。かなり役に立たず、不快でした。