Ho un sito Web che devo scannerizzare con lo strumento ZAP di OWASP 2.70. In precedenza funzionava finché i cookie erano abilitati.
Il sito è un .net sito proxy di Apache con mod_security . Funziona con tutti i principali browser come Firefox, Waterfox, Chrome, IE, Edge, Safari e Opera.
Quando sfoglio ZAP come proxy, sono in grado di accedere al sito. Quando provo a utilizzare l'URL di avvio rapido per attaccare, non riesce a generare una risposta 302. Questo sarebbe un sintomo di aver disabilitato i cookie. Quando provo la richiesta nell'Editor di richieste manuali, scorre una serie di reindirizzamenti (con la richiesta che mostra un tag SetCookie nella cronologia finché non ottengo un errore 400 con questo messaggio:
Your browser sent a request that this server could not understand. The number of request header fields exceeds this server's limit.
Quando ho aumentato la registrazione di controllo per acquisire tutte le richieste, ho visto che un cookie di sessione ASP veniva aggiunto ripetutamente.
Cookie":".ASPXANONYMOUS=_zHJef8I1AEkAAAAMDY3YTJiOTktZGFkMy00NTcwLTg0YjEtNGEzMTgwYjBlYzVi0, ASP.NET_SessionId=izjpf5ocrvlwky3q5qh0l3ul, .ASPXANONYMOUS=LiCxVgAJ1AEkAAAAMGM3NTExZWUtYjE1Ni00YzYyLWJjN2ItOTQ1NzM3ZjU5ZmQz0, ASP.NET_SessionId=xnhdcxlwgsklk44jstub0fhc, .ASPXANONYMOUS=GfmtYQUJ1AEkAAAAMWE2ZjgxYTItYWZkYy00ZDk2LWE2YjgtZTczYmMwMDUyMGU00, ASP.NET_SessionId=2swvpalf1hplhhrdhrn32t5x, .ASPXANONYMOUS=GfmtYQUJ1AEkAAAAMWE2ZjgxYTItYWZkYy00ZDk2LWE2YjgtZTczYmMwMDUyMGU00, ASP.NET_SessionId=f44l3zlb2yq2nv3dvyq01ar0, .ASPXANONYMOUS=U0G8YQUJ1AEkAAAAMzRlOWQwNzItZWYzOS00ZTIzLWI0NWUtOTFiMDlkMTE5MjRj0, ASP.NET_