Описание тега zap
OWASP Zed Attack Proxy (ZAP)
0
ответов
OWASP ZAP - неправильный порядок вызова NTLM - Непоследовательное ответное сообщение NTLM
Мне нужна помощь с настройкой аутентификации NTLM. В настоящее время я тестирую веб-приложение AJAX с использованием OWASP ZAP. Приложение доступно через HTTPS и имеет включенную аутентификацию NTLM. Когда я запускаю сканирование, ZAP не сохраняет п…
17 июл '18 в 13:08
1
ответ
ZAP, похоже, неправильно сообщает об уязвимости обхода пути в приложении Angular
Я использую OWASP ZAP как часть автоматизированного процесса CI/CD. Я делаю паук и активное сканирование. Отчет показал, что существует ошибка обхода пути. Во-первых, это сайт Angular 2, поэтому на сервере ничего не будет обнаружено. Во-вторых, когд…
05 июл '17 в 16:44
1
ответ
Проблема с веб-сокетом при использовании OWASP Zap proxy
Я работаю с zap 2.4.3, но я не получаю трафик websocket, кажется, он блокирует только пакет websocket, в то время как http и https корректно пересекаются через прокси. Что-то нужно настроить, чтобы разрешить это? Моя система: ZAP 2.4.3 Научный Linux…
23 фев '16 в 19:26
0
ответов
Докер OWASP ZAP возвращает сообщение "Отказано в соединении" при активном сканировании
Я пытаюсь настроить OWASP ZAP для локального запуска, используя предоставленный образ докера. docker run --name zap -u zap \ -p 8090:8090 -v "$(pwd)/reports":/zap/reports/:rw \ -i owasp/zap2docker-stable zap.sh -daemon -port 8090 -host 0.0.0.0 \ -co…
07 фев '19 в 14:27
2
ответа
Автоматизированный тест на OWASP A1-A10
Мне интересно, из топ-10 OWASP (A1-A10) все это можно автоматизировать. Можно ли автоматизировать их тестирование с помощью Selenium, если нет, какой инструмент можно использовать для их автоматизации? Также есть какие-либо документы или руководящие…
01 фев '17 в 16:45
3
ответа
Почему не запускается Zed Attack Proxy (ZAP)
У меня ZAP установлен на сервере сборки (Windows 2008 R2) и на рабочем столе Windows 7, и Zap запускается только изредка. Я нажимаю на программу, и мой курсор показывает, что она ждет секунду или 2, а затем ничего. Попытка запуска из командной строк…
20 авг '14 в 16:11
1
ответ
OWASP ZAP - документация по jython-скрипту
Я тестирую клиентское веб-приложение SQLi и использую для этого OWASP ZAP. Поскольку веб-страница, которая получает введенное значение, всегда перенаправляет пользователя с помощью ответа JSON (код состояния HTTP по-прежнему равен 200 OK), я пытаюсь…
26 фев '15 в 22:12
1
ответ
Использование OWASP ZAP за корпоративным прокси
Есть ли способ использовать ZAP за корпоративным прокси? Т.е. я хочу настроить свой браузер на использование локального прокси, предоставленного ZAP, а затем ZAP должен отправить запрос через наш глобальный прокси: Firefox -> ZAP -> WSA proxy …
07 дек '15 в 14:12
0
ответов
APIPython не сканирует аналогично ручной атаке в ZAP Proxy
Я пытаюсь использовать APIPython для запуска OWASAP ZAP из командной строки. Я успешно интегрировал это. Но проблема в том, что при использовании APIPython OWASP не сканирует полное сканирование. Результат гораздо выше, если вручную ввести URL-адрес…
13 окт '17 в 09:46
1
ответ
Запрос JSON не настроен с использованием аутентификации zap.
Я использую инструмент тестирования безопасности ZAP.but в точке Аутентификации по имени пользователя и паролю запроса JSON, я столкнулся с проблемой при их настройке. Я проверил все ссылки и блоги тоже. но я не могу получить правильное пошаговое ре…
01 май '18 в 06:47
1
ответ
SESSION_COOKIE_HTTPONLY = True не работает в Django:
Я установил следующий код в моем settings.py: SESSION_COOKIE_HTTPONLY = True хотя в документах сказано, что это по умолчанию. Тогда я использую ./manage.py runserver и запустите OWASP Zap сканер на сайте. Но OWASP zap говорит, что cookie был установ…
13 авг '15 в 15:08
3
ответа
Ложный положительный результат OWASP ZAP для X-Frame-Options и несуществующего html-файла
Я использую OWASP ZAP для проверки моего приложения на наличие уязвимостей. Я использую Атаку быстрого старта с URL моей страницы входа. Я запускаю приложение на Tomcat из Eclipse. В настоящее время есть 2 проблемы: ZAP находит HTML-страницу, котору…
02 ноя '17 в 16:06
1
ответ
OWASP Zaproxy не может атаковать URL, если он начинается с https
Я использую OWASP ZAP Tool (версия 2.4.2). Проблема заключается в том, что если я выбираю для атаки URL-адреса с https, всегда отображается "Failed to Attack URL". Работает нормально, если введенный мной URL не https. Как я могу включить его для раб…
03 дек '15 в 04:06
1
ответ
Настройте Zap Attack как общесистемный прокси
Мне нужен простой способ перехватить все HTTP-запросы с клиентского компьютера Linux (Mint, Ubuntu, OpenSuse). Я использую ZAP Attack Proxy. Индивидуальная настройка веб-браузеров и клиентских приложений для использования ZAP Attack в качестве прокс…
29 июл '16 в 14:05
1
ответ
Почему ZAP считает, что в этой ситуации переполнение буфера?
Я открываю для себя ZAP и его активный сканер. Я пытался выполнить активное сканирование варианта уязвимого магазина BodgeIT. в basket.jsp страница, внутренний код выглядит так: stmt = conn.prepareStatement("INSERT INTO BASKETCONTENTS (BasketID, Pro…
13 дек '18 в 13:08
0
ответов
Как правильно запустить ZAP против OWASP Benchmark?
Я уже несколько недель пытаюсь правильно запустить zap против теста owasp. Но я терплю неудачу - потому что результаты хуже, чем у старой версии zap. Вот сгенерированная система показателей с оценкой, достигнутой моим экземпляром ZAP 2.7. Я действит…
07 янв '19 в 15:48
1
ответ
Сканирование Rest API через OWASP в среде докера
Я установил сборку CI/CD для разработчиков Dev Azure, которая запустит виртуальную машину, в которой Owasp Zap работает в качестве прокси-сервера, и где задача Devas Owasp zap Azure будет выполняться по целевому URL и скопирует мой отчет в хранилище…
08 янв '19 в 15:26
0
ответов
Ошибка ZAP [java.net.SocketException]: сброс соединения "на URL перенаправления
Когда я нажимаю базовый URL-адрес, используя ZAP в качестве прокси-сервера из моего комплекта автоматизации для селена, он перенаправляет на другой URL-адрес (например, "Войти"). При получении ошибки по перенаправленному URL-адресу это происходит из…
18 янв '19 в 11:15
1
ответ
В чем преимущество валидации размера карты параметров в контроллере веб-приложения по сравнению с веб-безопасностью?
У меня есть веб-приложение (Spring MVC) и проверка входных данных для каждого параметра в контроллере. Что НЕ присутствует, так это проверка принятого размера карты параметров. т.е. когда контроллер ожидает 10 параметров, а запрос имеет 11 или 9. Мн…
30 авг '18 в 08:34
2
ответа
OWASP ZAP не может тестировать API
В настоящее время я пытаюсь сканировать API с помощью zap. Я скачал пример зоомагазина с https://editor.swagger.io/ и настроил сервер с пружиной. Теперь я хочу отсканировать этот API с помощью задания сборки Jenkins. Моя работа по сборке пока говори…
25 фев '19 в 14:16