Tag: owasp

Owasp ZAP在使用“Form-Based-Authentication”进行主动扫描期间不执行身份validationON python项目

我正在面对基于owasp zap表单的authentication上的障碍。 我按照指导安装zap属性。 当我运行主动扫描然后“当试图login它给FORBIDDEN错误。CSRF令牌不可用。 Owasp ZAP在使用“Form-Based-Authentication”进行主动扫描期间不执行身份validationON python项目。 [ 我的目标url是： http://example.com:84/admin/login/?next=/admin/ 发布数据 ; csrfmiddlewaretoken=IjYwHHavnCYgcWYMy2oL3L9Z0ldUH95s&username={%username%}&password={%password%}&next=%2Fadmin%2F 这里是我得到的HTML响应： <div id="summary"> <h1>Forbidden <span>(403)</span></h1> <p>CSRF verification failed. Request aborted.</p> </div> <div id="info"> <h2>Help</h2> <p>Reason given for failure:</p> <pre> CSRF token missing or incorrect. </pre> <p>In general, this can occur when there is a genuine Cross Site Request Forgery, or when <a […]

ZAP ScriptWriter同步错误

我从Docker镜像运行ZAP攻击代理（owasp / zap2docker） https://hub.docker.com/r/owasp/zap2docker-stable/ 我会周期性地遇到这个错误（一旦它第一次发生，一切都是错误的） 30130034 [HSQLDB计时器@ 28b04679]警告hsqldb.db.ENGINE – ScriptWriter同步错误：java.io.SyncFailedException：同步在org.hsqldb.lib.FileUtil $ FileSync上的java.io.FileDescriptor.sync（本机方法）失败。同步（未知来源）在org.hsqldb.scriptio.ScriptWriterBase.run（未知来源）在org.hsqldb.scriptio.ScriptWriterBase.sync（未知源）在org.hsqldb.scriptio.ScriptWriterBase.run（未知来源）在org。 hsqldb.lib.HsqlTimer $ TaskRunner.run（Unknown Source）在java.lang.Thread.run（Thread.java:745） 物理上 – 我已经检查过 – 容器和环境都有足够的空间（很多自由节点，很多物理空间）。 我正在运行aws m3.large实例（2核，7.5GB RAM，1x32GB SSD磁盘）。 任何线索可能会导致它，或如何规避这个错误？

通过docker命令传递login参数以使用owasp zap进行扫描

我试图执行一个命令来攻击login的应用程序，但我不知道如何将我的用户和密码传递给该url。 login发送带有用户名和密码的post来validation是否存在。 命令atack。 docker run –rm -v $（pwd）：/ zap / wrk /：rw -t owasp / zap2docker-stable zap-baseline.py -t http://172.31.95.32:8080/myapp/login -g gen。 conf -r testreport.html authMethodName：formBasedAuthentication authMethodConfigParams：loginUrl = http://172.31.95.32:8080/myapp/login