时间戳

首页 > 解决方案 > OWASP ZAP - 2 个初学者问题

web-crawler - OWASP ZAP - 2 个初学者问题

问题描述

我从 OWASP ZAP 开始。配置代理,并在 OWASP ZAP 中“捕获”网络http://webscantest.com/后,我进行了“蜘蛛”攻击

蜘蛛1

然后,在网站地图中,我没有找到文件夹“shutterdb”(存在),为什么?

蜘蛛 2

另一方面,我尝试在 URL http://webscantest.com/login.php中进行模糊测试:在请求窗口中右键单击,文本“passwd=ZAP”

fuzz1

并添加 Playloads 并单击“Start Fuzzer”

fuzz2

我们的结果显示“代码 302,找到原因”,但响应大小为 0 字节,“状态”中没有任何内容……这是什么意思?

fuzz3

非常感谢您的评论。

标签: web-crawlerowaspfuzzing

解决方案

Spider基本上会识别页面中的所有超链接并将它们添加到要访问的 URL 列表中,只要找到新资源,该过程就会递归地继续。https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsSpider

这意味着即使存在“ shutterdb ”资源,如果没有指向那里的超链接,蜘蛛也不会找到它。

关于302响应,是 URL 重定向的 HTTP 状态码https://en.wikipedia.org/wiki/HTTP_302

302 Found redirect status 响应码表示请求的资源已经临时移动到Location头给出的URL(/login.php)

HTTP/1.1 302 Found
Date: Mon, 25 Mar 2019 07:57:41 GMT
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.27
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: login_error=Bad+user+name+or+password; expires=Mon, 25-Mar-2019 09:57:41 GMT; Max-Age=7200
Location: /login.php
Content-Length: 0
Connection: close
Content-Type: text/html
Set-Cookie: NB_SRVID=srv140717; path=/

推荐阅读