我是个安全新手,当我在自己的网站上爬行时,会有一些奇怪的结果。下面是我的网址结果为OWASP ZAP蜘蛛在我的网站上我想知道带有OUT_OF_SCOPE标志的红色圆圈url是什么?我从来没有把所有这些url放到我的代码中。
浏览 14提问于2017-03-16得票数 0
回答已采纳
然而,我尝试在我的angularjs web应用程序中使用OWASP。我的路由页面都没有在爬行器中获得列表..有没有人能给我详细解释一下怎么做?我只想查看我的angularjs应用程序中所有路由URLS的漏洞
浏览 12提问于2016-08-11得票数 3
当使用docker run -t owasp/zap2docker-stable zap-baseline.py -t https://10.1.2.3/zapwave启动扫描时,爬行器将返回到根URLhttps://10.1.2.3,并继续扫描超出作用域的项。eg /ghost, /mono, /webgoat
是否可以将扫描范围限制在指定的目录或以下?本例中的
浏览 7提问于2020-02-04得票数 1
回答已采纳
我正在使用OWASP ZAP进行安全测试。我试图在我的管理仪表板页面上进行Ajax爬虫攻击。但是在消息中,显示了out of scope,浏览器也没有打开。我应该怎么做才能修复这个问题,打开浏览器并执行这个测试?
浏览 45提问于2017-08-25得票数 1
回答已采纳
目前,我们使用python selenium启动firefox,并将firefox代理设置配置为通过ZAP代理。127.0.0.1:8080"
self.driver = webdriver.Firefox(desired_capabilities=capabilities) 但我也看到ZAP有自己的浏览器,JxBrowser 如何在ZAP seleium中使用JxBrowser?比方说,如果我们使用seleium登录站点,我如何触发爬行器
浏览 28提问于2018-12-18得票数 0
回答已采纳
我已经自动扫描了我的应用程序。不幸的是,我发现在扫描后的URL列表上有一些对URL的GET请求,它们被标记为"Out of Context“或"Out of Scope”。我应该担心我做了什么违法的事吗?
浏览 1提问于2020-11-25得票数 0
1回答
目前,我正在编写一个python脚本,它将为我自动执行zap,所以我不需要进入并手动处理字段或爬行页面。我坚持的部分是,我的脚本目前只能爬行网页登录主页。我如何让它从我的脚本登录,并开始爬行其他网页上的网页应用?#!import pprint
target = 'http://127.0.0.1' # Replace
浏览 0提问于2018-07-12得票数 1
我是ZAP OWASP的新手。我已经创建了一个ZAP Jenkins作业。我收到以下带有表单登录身份验证的消息[ZAP Jenkins Plugin] ALERTS COUNT [ 0 ]
8023
浏览 0提问于2020-10-12得票数 1
我使用的是Zap-Cli,一个用于Owasp ZAP的命令行工具。我成功地创建了网页的上下文,但无法在身份验证后爬行网页。这是使用GUI工具完成的,但我和我的团队正在努力从命令行自动执行该过程。为了您的方便,提供了一些重要链接。等待帮助/建议。我们已经试了两个星期了。到目前为止,一切都是从命令行开始工作的。我们能够打开URL,并创建用于身份验证的上下文。我的
浏览 5提问于2016-04-18得票数 1
我正在尝试运行我的selenium脚本,并在后台运行zap。但在我的脚本通过后,我只想攻击我的网站,并想要排除其他人。
如何排除除要扫描的站点以外的所有站点?
浏览 8提问于2017-07-26得票数 0
1回答
如何通过ZAP在短发中使用蜘蛛?
、、、、
版本2.x中的Burp Community没有将扫描/爬行作为一个免费选项。
是否可以将ZAP作为代理在中使用?
浏览 7提问于2021-03-12得票数 0
回答已采纳
在提供正确的组合时,将显示一个带有下拉列表的页面。 我无法使用ZAP对此进行身份验证。因此,我想使用Selenium Python进行身份验证,并导航到主页。我已经使用Python在selenium上做了上面提到的事情。 我想通过ZAP来运行这个。请帮帮我。摘要:无法通过ZAP进行身份验证我有一个python脚本来打开浏览器并登录到我的页面,我想通过ZAP和爬行器来引导它并主动扫描它
浏览 26提问于2020-10-14得票数 0
我们有一个非常大的Web应用程序,大约有1000个页面需要测试(,一个面向服务公司的项目+财务管理应用程序)。每个页面可以有多个参数(object-id、过滤器、用于排序的列名等)。我们现在将对这些参数实施额外的安全检查,因此我们需要系统地测试a)攻击性参数值是否被拒绝,b)应用程序实际使用的参数值是否被正确接受。示例:我们可能想说页面中的sort_column参数应该只由字母数字字符组成。但实际应用程序中可能包含一个包含空格的列名,从而导致误报安全警报(空格字符不是字
浏览 2提问于2020-06-08得票数 0
1回答
在OWASP Zap中使用自动扫描选项时,您需要提供要攻击的URL。这将根据所选的选项对提供的URL进行爬行和攻击。 但是,这通常是登录页面。
浏览 361提问于2021-09-01得票数 0
我有一个要求,在以下条件下我需要暂停蜘蛛下面是我正在做的脚本: HTTP发送引擎: Jython脚本: except: pass
我想知道他们是否有其他或更好的方法来实现这一点
浏览 3提问于2022-05-30得票数 1
我目前正在使用REST-API (使用Groovy作为语言)与ZAP进行交互。String zapUrl = ${zap.getCon
浏览 18提问于2017-08-01得票数 2
回答已采纳
我一直在使用ZAP为我正在工作的网站寻找任何最终的纠结。一切都运行得很好,除了我注意到当我跟随被动爬虫运行主动扫描时,ZAP gui中没有记录任何警报。对新会话的初始被动扫描会记录警报,但我真的希望看到主动扫描的警报。我是不是遗漏了什么?我尝试重新启动一个新的会话,然后直接进行攻击,但它仍然没有记录任何内容。它可能需要在开始记录警报之前完成吗?我已经检查了生成的html报告,它没有指示警报是由被动扫描还是主动扫描标记的,所以我真的不能
浏览 3提问于2018-08-14得票数 1
2回答
我是ZAP的初学者。我正在尝试使用模糊逻辑作为密码。但是,当我单击请求表中的密码时,我可以看到这个选项,但是我无法单击它,因为它是微弱的,不可点击的。我怎么激活它?
浏览 0提问于2016-12-19得票数 6
1回答
答复没有变化,名单是一样的。应用程序不读取ZAP添加的param "query“,因此这里没有实际的SQL注入。但ZAP提醒这是高中档。
我添加了Hand
浏览 0提问于2018-08-16得票数 1
我有一个Zap记录器,它是从自定义Config (即config.Build())生成的。我想通过调用测试方法中的logger.Info()来测试记录器,并断言结果,看看它是否符合配置集。代码示例: config := &zap.Config{ Level: zap.NewAtomicLevelAt
浏览 0提问于2018-10-10得票数 7
回答已采纳
云服务器
ICP备案
对象存储
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号