OWASP Zap proxy Fuzz XSS pentest contra REST API

Navega tus respuestas
1

Estoy buscando que PEN pruebe mi aplicación contra ataques XSS.

La aplicación es una API REST ... Como tal, cuando POSTES un JSON a / cart / add para ver el resultado de ese ataque, necesitarías GET / cart.

Hasta ahora he descubierto cómo usar con éxito Fuzzer para realizar ataques XSS a mi aplicación.

Sin embargo, espera que la respuesta contenga los datos que acaba de enviar.

Supongo que lo que necesito es un enfoque de dos pasos para Fuzzer.

  1. Hacer una solicitud de ataque a POST / cart / add
  2. afirmar si el ataque fue     exitoso solicitando GET / cart

¿Alguien sabe cómo puedo hacer esto?

    
pregunta Mark 18.07.2014 - 18:15
fuente

1 respuesta

1

¿Su aplicación está devolviendo HTML cuando GET / cart? Si es así, podría intentar usar el escáner XSS persistente ZAP, que debería inyectar ataques XSS a través de la POST y luego verificar todas las URL donde se muestra la carga útil.

Si el GET no devuelve html, entonces todo depende de cómo se utilicen esos datos.

Para su información, tenemos un grupo de usuarios de ZAP que probablemente sea más adecuado para preguntas como esta: enlace Eso está vinculado. el elemento de menú ZAP "Online / ZAP User Group", que aparentemente es invisible ya que nadie parece detectarlo;)

Simon (Líder de Proyecto ZAP)

    
respondido por el Simon Bennetts 18.07.2014 - 18:42
fuente

Lea otras preguntas en las etiquetas

serie de errores SSL en múltiples sitios: ¿motivo de preocupación? [cerrado] inyección de contenidos-archivos de etterfilter