OWASP ZapプロキシFuzz XSSペンテストREST API
XSS攻撃に対してアプリケーションをPENテストすることを検討しています。
アプリケーションはREST API ...なので、POSTいくつかのJSONを/ cart/addに追加して、攻撃の結果を確認するには、/cartを取得します。
これまでのところ、Fuzzerを使用してアプリケーションをXSS攻撃する方法を理解しました。
ただし、送信したデータが応答に含まれていることを期待しています。
必要なのは、Fuzzerへの2ステップのアプローチだと思います。
- POST/cart/addに攻撃要求を出す
- GET/cartを要求して攻撃が成功したかどうかをアサートする
誰か私がこれを行う方法を知っていますか?
/ cartを取得すると、アプリケーションはHTMLを返しますか?その場合は、ZAP永続XSSスキャナーを使用してみてください。POSTを介してXSS攻撃を挿入し、ペイロードが表示されているすべてのURLを確認する必要があります。
GETがhtmlを返さない場合、すべてはそのデータがどのように使用されるかに依存します。
参考までに、ZAPユーザーグループがあります。これは、おそらく次のような質問に適しています。 http://groups.google.com/group/zaproxy-users ZAPからリンクされた「オンライン/ ZAPユーザーグループ」 "メニュー項目。誰も見つけられないように見えないので、;)
Simon(ZAPプロジェクトリーダー)