Preguntas con etiqueta 'zap'

1
respuesta

Proporcionar datos json post en la autenticación basada en formularios

ZAP proporciona una forma de convertir una solicitud de inicio de sesión (POST) en un patrón de registro (a través de "marcar como ..." en el menú contextual). Cuando los datos son algo así como "user=toto&psswd=t@T°" , se traducirá...
hecha 05.03.2018 - 09:25
2
respuestas

Cómo obtener el token CSRF en la solicitud de autorización con OWASP ZAP en modo de fuerza bruta

Soy nuevo en OWASP ZAP, por lo que necesito tu ayuda. Tengo sitio de vulnerabilidad - DVWA. Estoy tratando de trabajar en el token (CSRF) en bruteforce. Cuando se carga la página, tengo un formulario HTML con inicio de sesión, contraseña y...
hecha 31.01.2017 - 12:56
0
respuestas

Carga personalizada SQLMap del informe de vulnerabilidad de OWASP Zap

Corrí OWASP Zap en mi sitio. En el informe de vulnerabilidad leí que hay un problema de inyección de SQL: Advanced SQL Injection- MySQL > 5.0.11 stacked queries (SELECT - comment) (ver img para detalles). Agregué una prueba personalizada...
hecha 17.12.2018 - 11:46
0
respuestas

OWASP ZAP: ¿Cómo realizar la autenticación cuando el punto final de la API solo acepta XML en bruto?

Actualmente estoy trabajando para probar una aplicación Angular 6 usando OWASP ZAP. Realmente disfruto esta herramienta, pero como muchos de nosotros, lucho con la parte de autenticación, y sin ella toda la herramienta se convierte en una hambur...
hecha 02.10.2018 - 19:25
0
respuestas

OWASP ZAP no analiza todas las direcciones URL en Jenkins

Tengo dos configuraciones con ZAP y Selenium, local y en Jenkins. Localmente, puedo iniciar ZAP, ejecutar un proceso de Selenium con ZAP como proxy y luego iniciar la araña y luego poner ZAP en modo de ataque. Esto generará una serie de probl...
hecha 26.09.2018 - 17:24
0
respuestas

Zed Attack Proxy Fuzzer manejo de cookies

Estoy intentando difuminar la funcionalidad de las contraseñas de WordPress con mis listas de contraseñas. Desafortunadamente, cuando se confunde la página de contraseña con la contraseña correcta y se configuran las redirecciones a verdadero, Z...
hecha 01.11.2017 - 21:56
1
respuesta

No puedo obtener respuesta a través de OWASP ZAP

He realizado los siguientes pasos para capturar la solicitud / respuesta en ZAP: - Genere el certificado dinámico en ZAP. Agregue el certificado al navegador (FireFox). Establezca el Proxy local en 127.0.0.1 y el puerto en 8090 establ...
hecha 02.11.2017 - 14:54
1
respuesta

¿Cómo OWASP ZAP encuentra Reflected XSS?

Lo que estoy haciendo: Estoy usando OWASP Zap para encontrar vulnerabilidades en un sitio (tengo el consentimiento del propietario) y Zap ideó una vulnerabilidad de XSS reflejada después de realizar una exploración activa en una solicitud P...
hecha 09.11.2018 - 02:08
2
respuestas

¿Explotar la inyección de SQL en OWASP ZAP?

He realizado un escaneo normal (sin confusión) de un sitio web utilizando ZAP en modo de ataque, y me da varias inyecciones posibles. Mi pregunta es si hay alguna manera de tratar de explotar esto dentro de ZAP, sin usar el mapa SQL por mí mismo...
hecha 20.01.2016 - 05:20
1
respuesta

¿Cuál es el riesgo de que se revele la dirección IP privada si es la IP del usuario?

Estoy comprobando una aplicación web con Zed Attack Proxy (ZAP) de OWASP . Hay una vulnerabilidad (baja) que dice " Revelación de la dirección IP privada " y cuando verifico más detalles encontré que es mi IP , y hay una función que solo re...
hecha 30.07.2018 - 10:32