fuzzing xss mutillidae con OWASP ZAP

Navega tus respuestas
-1

Estoy jugando con XSS fuzzing y encuentro que el proxy de zap es muy bueno, ya que puedo utilizar la opción fuzz. No tengo burp pro, por lo que no puedo importar listas en el repetidor. Mi problema es que puedo provocar manualmente una respuesta XSS en la aplicación web mutillidae, pero no puedo replicarla a través del proxy zap. Lo que en última instancia significa que no puedo borrar el parámetro. He intentado confundirme con las consultas que conozco que funcionan, y zap dice que están reflejadas, pero cuando abro la respuesta en el navegador, usando la funcionalidad de zap para hacerlo, no hay una ventana emergente. Soy capaz de provocar una ventana emergente usando la suite Burp, así que creo que es una característica de zap que lo previene. Sólo he experimentado esto con mutillidae. Si alguien ha experimentado lo mismo y tiene una solución, por favor explique. Probablemente me he perdido algo obvio

    
pregunta Aleksander Ring 06.10.2018 - 10:13
fuente

1 respuesta

0

En primer lugar, quiero decirles qué significa exactamente ese pequeño símbolo reflejado. No significa necesariamente que la carga útil haya sido exitosa, sino que la carga útil con la que estás tratando de eliminar está en la respuesta. Debe ver manualmente qué cargas útiles funcionan y no, desea comenzar con las cargas útiles que tienen el símbolo reflejado. ¿Dijiste que habías abierto la respuesta en tu navegador? ¿Por qué estás haciendo eso? Debería estar abriendo la solicitud (en lugar de la respuesta) que causó la respuesta (también conocida como el cuadro de alerta). Intente esto y vea si aparece el cuadro de alerta.

EDITAR: mire el comentario de kingthorin, explica el símbolo reflejado con más detalle

    
respondido por el CoderPE 09.11.2018 - 02:27
fuente

Lea otras preguntas en las etiquetas

Problema extraño de conexión a internet [cerrado] ¿Enviar la contraseña de hash o la contraseña de hash en el servidor? [duplicar]