Soy un principiante con ZAP. Estoy tratando de usar la lógica FUZZ para las contraseñas. Pero puedo ver esa opción cuando hago clic en la contraseña en la tabla de solicitud pero no puedo hacer clic en ella, ya que es débil y no se puede hacer clic.
¿Cómo lo activo?
No se puede fuzz en modo seguro. Información de ayuda principal sobre los modos aquí: enlace
ZAP tiene un 'modo' que puede ser:
- Seguro : no se permiten operaciones potencialmente peligrosas
- Protegido : solo puede realizar acciones (potencialmente) peligrosas en las URL en el Ámbito
- Estándar : como en versiones anteriores, puedes hacer cualquier cosa
- ATAQUE : los nuevos nodos que están en Scope se escanean activamente tan pronto como se descubren
Se recomienda que utilice el modo protegido para asegurarse de que solo ataca los sitios a los que te refieres.
El modo se puede cambiar a través de la barra de herramientas (o la API de ZAP) y es Persistió entre sesiones.
Ejemplos de cosas que no serán posibles en el modo seguro o en modo Protegido cuando no se actúa sobre las URL en el Ámbito:
- Spidering
- escaneo activo
- Fuzzing
- Forzar la navegación
- Rompiendo (interceptando)
- Reenviando solicitudes
Parece que estás usando el Modo seguro basado en la captura de pantalla provista. Cambie al modo Estándar o al Modo protegido: en este último caso, también tendrá que agregar el sitio relevante al ámbito.
Lea otras preguntas en las etiquetas penetration-test fuzzing zap