Domande con tag 'zap'

1
risposta

Fornire i dati di JSON Post in autenticazione basata su modulo

ZAP fornisce un modo per trasformare una richiesta di accesso (POST) in un modello di registrazione (tramite il "segno come ..." nel menu di scelta rapida). Quando i dati sono qualcosa come "user=toto&psswd=t@T°" , lo traducono in...
posta 05.03.2018 - 09:25
2
risposte

Come ottenere token CSRF sulla richiesta di autorizzazione con OWASP ZAP in modalità bruteforce

Sono nuovo in OWASP ZAP, quindi ho bisogno del tuo aiuto. Ho un sito di vulnerabilità - DVWA. Sto cercando di lavorare su token (CSRF) in bruteforce. Quando la pagina si carica ho un modulo HTML con login, password e token dell'utente. Il...
posta 31.01.2017 - 12:56
0
risposte

Carico utile personalizzato SQLMap dal rapporto sulla vulnerabilità di OWASP Zap

Ho eseguito OWASP Zap sul mio sito. Nel rapporto sulla vulnerabilità ho letto che esiste un problema di SQL injection: Advanced SQL Injection- MySQL > 5.0.11 stacked queries (SELECT - comment) (vedi img per i dettagli). Ho aggiunto un te...
posta 17.12.2018 - 11:46
0
risposte

OWASP ZAP: come eseguire l'autenticazione quando l'endpoint dell'API accetta solo XML non elaborato?

Attualmente sto lavorando per provare un'applicazione Angular 6 usando OWASP ZAP. Mi piace molto questo strumento, ma come molti di noi, faccio fatica con la parte di autenticazione, e senza di essa l'intero strumento si trasforma in un hamburge...
posta 02.10.2018 - 19:25
0
risposte

OWASP ZAP non esegue la scansione di tutti gli URL in Jenkins

Ho due set up con ZAP e selenio, locale e su Jenkins. A livello locale, posso avviare ZAP, eseguire un processo Selenium con ZAP come proxy, quindi avviare lo spider e quindi inserire ZAP in modalità di attacco. Ciò farà sorgere una serie di...
posta 26.09.2018 - 17:24
0
risposte

Zed Attack Proxy Fuzzer gestione dei cookie

Sto provando a eseguire il fuzz wordpress per la creazione di password con i miei elenchi di password. Sfortunatamente, quando si configura la pagina della password con la password corretta e si impostano i reindirizzamenti su true, ZAP non visu...
posta 01.11.2017 - 21:56
1
risposta

Non è possibile ottenere risposta tramite OWASP ZAP

Ho eseguito i seguenti passaggi per acquisire richiesta / risposta in ZAP: - Genera il certificato dinamico in ZAP. Aggiungi il certificato al browser (FireFox). Imposta il proxy locale su 127.0.0.1 e porta su 8090 imposta il proxy in...
posta 02.11.2017 - 14:54
1
risposta

In che modo OWASP ZAP trova Reflected XSS?

Che cosa sto facendo: Sto usando OWASP Zap per trovare vulnerabilità in un sito (ho il consenso del proprietario) e Zap ha scoperto una vulnerabilità legata all'XSS riflessa dopo aver eseguito una scansione attiva su una richiesta POST. Mi...
posta 09.11.2018 - 02:08
2
risposte

Exploit SQL injection in OWASP ZAP?

Ho eseguito una scansione normale (non fuzzing) di un sito Web che utilizza ZAP in modalità di attacco e mi dà diverse iniezioni possibili. La mia domanda è se c'è un modo per provare a sfruttarli all'interno di ZAP, senza usare me stesso la map...
posta 20.01.2016 - 05:20
1
risposta

Qual è il rischio di divulgazione di indirizzi IP privati se si tratta dell'IP dell'utente?

Sto controllando un'applicazione web con OWASP Zed Attack Proxy (ZAP) . Esiste una vulnerabilità (bassa) che dice " rivelazione di indirizzi IP privati " e quando controllo ulteriori dettagli ho scoperto che è mio IP e che c'è una funzione...
posta 30.07.2018 - 10:32