Tengo un sitio web que necesito escanear con la herramienta ZAP 2.70 de OWASP. Anteriormente funcionaba siempre que las cookies estuvieran habilitadas.
El sitio es un sitio .net distribuido por Apache con mod_security . Funciona con todos los principales navegadores, como Firefox, Waterfox, Chrome, IE, Edge, Safari y Opera.
Cuando navego por ZAP como un proxy, puedo acceder al sitio. Cuando trato de usar la URL de inicio rápido para atacar, falla generando una respuesta 302. Esto sería un síntoma de tener cookies deshabilitadas. Cuando pruebo la solicitud en el Editor de solicitudes manuales, pasa por una serie de redirecciones (con la solicitud mostrando una etiqueta SetCookie en el historial hasta que aparece un error 400 con este mensaje:
Su navegador envió una solicitud que este servidor no pudo entender. El número de campos de encabezado de solicitud supera el límite de este servidor.
Cuando levanté el registro de auditoría para capturar todas las solicitudes, lo que vi fue que una cookie de sesión ASP se estaba agregando repetidamente.
Cookie ":". ASPXANONYMOUS = _zHJef8I1AEkAAAAMDY3YTJiOTktZGFkMy00NTcwLTg0YjEtNGEzMTgwYjBlYzVi0, ASP.NET_SessionId = izjpf5ocrvlwky3q5qh0l3ul, .ASPXANONYMOUS = LiCxVgAJ1AEkAAAAMGM3NTExZWUtYjE1Ni00YzYyLWJjN2ItOTQ1NzM3ZjU5ZmQz0, ASP.NET_SessionId = xnhdcxlwgsklk44jstub0fhc, .ASPXANONYMOUS = GfmtYQUJ1AEkAAAAMWE2ZjgxYTItYWZkYy00ZDk2LWE2YjgtZTczYmMwMDUyMGU00, ASP.NET_SessionId = 2swvpalf1hplhhrdhrn32t5x, .ASPXANONYMOUS = GfmtYQUJ1AEkAAAAMWE2ZjgxYTItYWZkYy00ZDk2LWE2YjgtZTczYmMwMDUyMGU00, ASP.NET_SessionId = f44l3zlb2yq2nv3dvyq01ar0, .ASPXANONYMOUS = U0G8YQUJ1AEkAAAAMzRlOWQwNzItZWYzOS00ZTIzLWI0NWUtOTFiMDlkMTE5MjRj0, ASP.NET_