web-dev-qa-db-ja.com

OWASP ZAPに実際のデータでパラメーターをファズさせるための最良の方法は何ですか?

Open API定義をインポートしてスキャンしようとしていますが、URLパラメータとリクエストの本文が実際のデータに置き換えられていないようです。 OWASP ZAPがこれらのパラメーターと本文のリクエストを実際のデータに自動的に置き換える方法はありますか?そうでない場合、他にどのような最適な解決策がありますか?

前もって感謝します!

1
user8348136

最良のオプションは、ZAPを介して実際のデータを使用するリクエストをプロキシすることです。これらは、単体テスト、またはcurlへのコマンドライン呼び出しのような単純なものです。 ZAP APIを使用してターゲットシステムを呼び出すこともできます。

Form Handler アドオンを使用すると、個々のフィールドに値を指定することもできますが、これはURLパラメータを処理するとは思いません。

1
Simon Bennetts

Zapのアクティブスキャナー機能を参照していると思います。アクティブスキャナーは、最初に左側のパネルで検出されたサイトノードを確認します。したがって、アクティブスキャンを実行する前に、まずこれらのサイトノードにデータを入力する必要があります。これは、スパイダー、強制ブラウジング(dirbusterなど)、またはプロキシを使用した手動ブラウジングで実行できます。次に、それらのノードが入力されたら、手動で確認し、必要に応じて調整します。

From https://www.zaproxy.org/docs/desktop/start/features/structmods/ :—「[サイト]タブには、ZAPの表現が表示されます応用。これが構造を適切に表現していない場合、ZAPはアプリケーションを効果的に攻撃できません。現在2つのタイプの構造修飾子があります。*データを表すURLパスを識別するデータドリブンコンテンツ*ユーザーデータの代わりにアプリケーション構造を表すパラメーターを識別する構造パラメーター」—

[サイト]タブの構造を調整してZapが効率的に攻撃できるようにするには、ノードの周囲にコンテキストを定義し、グループ化または分割する必要があります。データ駆動型のグループ化についてここで説明します: https://www.zaproxy.org/docs/desktop/start/features/ddc/ 構造の分割それらはここで説明されています: https://www.zaproxy.org/docs/desktop/start/features/structparams/

次に、[サイト]タブが論理的に構成されたら、攻撃を開始できます。私の理解では、[サイト]タブでは、構造として定義されたノードはそのように扱われるため、サイトによって定義された「実際の」キーと値のペアを使用し、データとしてフラグが付けられたノードはペイロード入力ベクトルとして扱われます。 。アクティブスキャンは、特定の脆弱性を探すために構造化パラメーターを改ざんしようとする可能性がありますが、改ざんのほとんどは、私が信じているデータパラメーターにあるはずです。

また、Zap Fuzzer機能を使用すると、改ざんしたい特定のパラメーターなど、ファジングする場所を制御できます。詳しくはこちら: https://www.zaproxy.org/docs/desktop/addons/fuzzer/

FuzzDBファイルアドオンにも興味があるかもしれません: https://www.zaproxy.org/docs/desktop/addons/fuzzdb-files/

このガイドもチェックする価値があります: https://medium.com/volosoft/running-penetration-tests-for-your-website-as-a-simple-developer-with-owasp -zap-493d6a7e182b

私があなたの質問に答えたか、少なくともあなたを正しい方向に向けたことを願っています。

0
ansichart