zap相关内容

在 ZAP 工具中添加身份验证以攻击 URL

如何将身份验证详细信息传递给 ZAP 工具以扫描网站.请帮我解决问题. 解决方案 很老的问题，但问题来了. 最简单的方法是通过 ZAP 将您的浏览器设置为代理.在 Firefox 上，您可以访问: 选项 -> 高级 -> 网络 -> 设置. 选择手动代理配置并用运行 ZAP 的机器的地址(很可能是本地主机)和配置的 ZAP 端口填充 HTTP 主机. 您可以检查和配 ..

发布时间：2021-12-13 14:35:42 authentication session owasp zap penetration-testing 其他开发

如何解决OWASP ZAP报告的“alert(1);"XSS 漏洞

针对我们的应用程序运行 OWASP ZAP 扫描工具后，当该工具使用此字符串进行攻击时，我们发现了许多 XSS 漏洞: " onMouseOver="alert(1); 或 ;alert(1) 所以这样的字符串会出现在服务器响应中.虽然它在浏览器中没有做任何事情.可能是想给Html标签插入额外的属性，但是怎么解决? 解决方案 如果您可以发布有关注入攻击的 html，那么这可能就足够 ..

发布时间：2021-10-04 18:47:58 javascript xss owasp zap 前端开发

Zed Attack Proxy 使用 OAuth 自动扫描 WebApi

我已经配置了 ZAP 2.6，这样它就可以充当 Android 应用程序通过 HTTPS 向 Web 服务发出的请求的代理.身份验证机制是 OAuth 2，因此在我的登录响应中，我获得了一个访问令牌，然后将其发送到所有后续请求标头中，如下所示 Authorization: Bearer my_long_and_encoded_access_token 是否可以让 ZAP 识别此令牌并在从 ZA ..

发布时间：2021-06-11 19:21:10 oauth-2.0 zap 其他开发

如何将zap会话文件传递给dockerized zap扫描仪?

在执行扫描之前，如何正确地将会话文件(.session .session.data .session.properties .session.script和上下文)传递给以下命令? docker run -rm -v $ {pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-baseline.py \-t https://www.example.c ..

发布时间：2021-05-02 19:33:24 docker jenkins-pipeline owasp zap 其他开发

如何使用与Jenkins集成的Python API脚本为zap(Owasp)创建HTML报告

我使用Python API触发了zap，如下所示:- 脚本源:- https://github.com/zaproxy/zaproxy/wiki/ApiPython 我想要通过命令行生成HTML报告. 我正在尝试将其与Jenkins集成在一起. 我在詹金斯(Jenkins)中发现了很少的Owasp插件，但似乎没有按预期工作. 任何想法，链接，教程都会对我有帮助. ..

发布时间：2021-02-11 20:10:14 jenkins jenkins-plugins owasp zap 其他开发

zaproxy：无法在本地找到图像“ in：latest”

我遵循了以下示例： https：// zaproxy。 blogspot.com/2017/06/scanning-apis-with-zap.html 在Mac上安装Docker 执行 docker pull owasp / zap2docker-weekly 执行的示例： docker run -t owasp / zap2docker-weekly zap-api-scan.py ..

发布时间：2020-10-25 01:42:01 docker zap 其他开发

ASP.NET MVC 5 Azure App ZAP扫描指示代理披露漏洞-我们如何防止该漏洞?

ZAP扫描报告指示检测到2个代理服务器或对其进行了指纹识别.它说它对TRACE，带有Max-Forwards标头的OPTIONS和TRACK方法的攻击都对我们的URL进行了GET和POST方法.我们已经通过网络配置更改或代码更改删除了不必要的标头(例如Server和X-Powered-By ...)以及响应中的asp.net版本标头，但我们仍然看到了这一点.此外，提到的网址仅允许GET或POST， ..

发布时间：2020-09-18 01:12:41 asp.net-mvc security azure-web-sites zap 其他开发

自动执行Zed攻击代理扫描的OAuth访问令牌

我想为几个REST API运行安全扫描. 这些API使用OAuth，并分为两组，每个组使用不同的Grant Type. 我想使用ZAP工具运行安全扫描，但无法自动执行获取请求所使用的OAuth令牌的过程. 我正在使用SoapUI在ZAP中记录API，效果很好.但是，当令牌过期时，在使用SoapUI或PostMan检索令牌后，我必须手动重新记录或编辑令牌. 一种要求提供一些详细步骤 ..

发布时间：2020-09-14 23:10:19 security oauth automated-tests zap 其他开发

将Zap Attack配置为系统范围的代理

我需要一种简单的方法来拦截来自客户端Linux机器(Mint，Ubuntu，OpenSuse)的所有HTTP请求.我正在使用ZAP攻击代理.单独配置Web浏览器和客户端应用程序以使用ZAP Attack作为代理不是我的选择.优选地，它必须以类似于Fiddler的方式来捕获所有请求，而没有任何配置或具有最低配置. 如何将ZAP攻击配置为系统范围的代理? 解决方案 您是否将ZAP设置为全 ..

发布时间：2020-07-07 01:10:54 configuration proxy settings http-proxy zap 其他开发

在ZAP工具中添加身份验证以攻击URL

如何将身份验证详细信息传递给ZAP工具以扫描网站.请帮助我解决问题. 解决方案 很老的问题了，但是它就解决了. 最简单的方法是通过ZAP将浏览器设置为Proxy. 在Firefox上，您可以转到: 选项->高级->网络->设置. 选择“手动代理配置"，然后在HTTP主机中填充运行ZAP的计算机的地址(很可能是localhost)和配置的ZAP端口. 您可以检查并配置 ..

发布时间：2020-05-03 09:16:30 authentication owasp zap 其他开发

如何阻止表单动作URL的XSS？

我们使用Shibboleth的SingleSingOut（SSO）来进行身份验证.Shibboleth是一个开源项目，已经被集成到我们的项目中。如果用户没有通过身份验证，Shibboleth会重定向到login.jsp页面。现在我们已经定制了login.jsp页面来支持本地化。所以，表单actionUrl必须由Shibboleth IDP（身份提供者）发送以执行认证。以下是Shibboleth提供 ..

发布时间：2018-06-25 17:18:37 javascript html cross-site zap 前端开发