問題タブ [zap]

OWASP Zap を使用した侵入テストでは、多くのパス トラバーサルの「脆弱性」が見つかりましたが、レポートがすべてを語っていないか、完全に安全に見えます。例えば：

「2」は呼び出しエンティティの ID であるため、システムで必要になります。同じ種類のものは明らかに多くの場所で使用されていますが、Zap が不満を言うのはこれだけです。通常、2 を別の整数に置き換えるか、別のパラメーター「PressContacts」に完全に有効な文字列を渡すことによって、いくつかの例を見つけます。

MVC では、これらは int と int のリストにバインドされているため、私が知る限りサニタイズされています。

問題が何であるかを正確に知るにはどうすればよいですか、または Zap に間違ったツリーを鳴らしていることを伝えるにはどうすればよいですか? GET と POST に応答するさまざまな MVC アクションがあり、レポートではどちらにヒットしているかが明確ではありません。

本当に明らかな何かが欠けている場合は、事前にお詫び申し上げます。Zap を使用するのはこれが初めてなので、何かを完全に誤解している可能性があります。

ZAP APIを使用して、さまざまな Web アプリケーションに対して認証スキャンを実行したいと考えています。これらの Web アプリケーションにはそれぞれ異なるログイン メカニズムがあり、それぞれ手動で構成する必要がある多数の異なるフォームを介してログインするという面倒なプロセスを実行したくありません。

より簡単な解決策は、アプリケーションごとに HTTP セッション Cookie を使用してこれらの認証済みスキャンを実行することですが、関連付けられたユーザーとのコンテキストを作成せずにこれを実行するメカニズムがわかりません。

この使用例ではないにもかかわらず、http セッションを介して新しいセッションを追加しようとしました。

ただし、スキャンを実行する場合、手動で追加された Cookie はサーバーへの後続のリクエストには追加されません。

たとえば、スパイダーを実行する場合、セッション情報は無視されます。

ZAP API 経由でリクエストに Cookie を追加してスキャンを実行することはできますか?

または、ログインしてスキャンする各 Web サイトのフォーム データとコンテキストを手動で追加する唯一のオプションですか?

OWASP ZAP などの他のツールを Nightwatch.js に統合して、自動化されたセキュリティ テストを実行できないかと考えています。たとえば、nightwatch.js を介してブラウザーを起動し、ZAP スクリプトを実行/呼び出します。

ありがとう、よろしく、 アミット

API経由でカスタム無視パラメータを追加する方法を探しています。このUI画面に相当するIE API

ログイン資格情報を使用してスキャン サイトをテストしています。

通常、このコマンドを使用して端末から zap.sh -cmd -quickurl http://example.com

ログインスキャンのコマンドとは？

セキュリティ テストはまったく初めてなので、基本的な手順を実行してから、スパイダーとアクティブ スキャンを実行しようとしています。owasp&のビデオをいくつか見てyoutube、含まれている ZAP ドキュメントの意味を理解しようとしました。ただし、スパイダー クロールまたはアクティブ スキャンを実行している間は、ZAP はログインしていないと思います。

私のアプリケーションはJava+Vaadin & Springベースのアプリケーションであり、POST URL はどのようなリクエストを行っても変更されません。リクエストパラメータが変わるだけです。POST URL は常に

http://example.com/UIDL/?v-uiId=0

利用した

• スパイダー/アクティブ スキャンを実行する前に、HTTP セッションでアクティブ セッションを設定します。
• コンテキストをセットアップしました (ただし、[サイト] の下に表示される URL はほとんどありません)。
• また、URL で確認できる「ページ」、「UIDL」などの単語で構造パラメーターを更新しようとしました。
• ログアウト URL も除外しようとしましたが、すべての POST URL が同じであるため、その場合、スパイダーとアクティブ スキャンは実際には何もしません。
• 右クリックすると、リクエストをフォームベース認証として選択するオプションが表示されました。

私もそれを試しましたが、「ログインリクエストPOSTデータ」に次のような値が入力されます

12929ddf-5d7f-4264-b810-2fa8f38eca6f[["597","v","v",["pagelength",["i","28"]]],["597","v"," v",["firstToBeRendered",["i","0"]]],["597","v","v",["lastToBeRendered",["i","26"]]], ["597","v","v",["reqfirstrow",["i","15"]]],["597","v","v",["reqrows",[" i","12"]]]]

ユーザー名/パスワードフィールドにまったく同じものを入力します。

XSRF最後にもう 1 つ、アプリケーションで ZAP を適切に使用できるようにするために、本当に を無効にする必要があるのJava/Vaadinでしょうか?

私は単にそれを機能させ、そこから学び続けようとしています。誰かが正しい設定で私を助けてくれれば幸いです。

Zap を使い始めたばかりで、Firefox と Chrome で正常に実行しています。

https以外のサイトにもSSL証明書を自動的に提供するために使用したいと思います。

たとえば、

http://example.com

なので

https://example.com

example.com は通常 SSL 証明書を提供しませんが。

これにより、自己署名証明書を作成したり、Web サーバーで証明書を構成したりすることなく、ローカル開発サイトをテストできます。

開発ポート (18000) をポート 443 にポート転送しようとしましたが、Web サーバーによって提供される SSL 証明書がなく、接続に失敗します。また、 sni terminator zap プラグインでこれを試してみましたが、運が良かったのですが、非常に近いように感じます!

助言がありますか？