web-crawler - OWASP ZAP - 2 个初学者问题
问题描述
我从 OWASP ZAP 开始。配置代理,并在 OWASP ZAP 中“捕获”网络http://webscantest.com/后,我进行了“蜘蛛”攻击
然后,在网站地图中,我没有找到文件夹“shutterdb”(存在),为什么?
另一方面,我尝试在 URL http://webscantest.com/login.php中进行模糊测试:在请求窗口中右键单击,文本“passwd=ZAP”
并添加 Playloads 并单击“Start Fuzzer”
我们的结果显示“代码 302,找到原因”,但响应大小为 0 字节,“状态”中没有任何内容……这是什么意思?
非常感谢您的评论。
解决方案
Spider基本上会识别页面中的所有超链接并将它们添加到要访问的 URL 列表中,只要找到新资源,该过程就会递归地继续。https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsSpider
这意味着即使存在“ shutterdb ”资源,如果没有指向那里的超链接,蜘蛛也不会找到它。
关于302响应,是 URL 重定向的 HTTP 状态码https://en.wikipedia.org/wiki/HTTP_302
302 Found redirect status 响应码表示请求的资源已经临时移动到Location头给出的URL(/login.php)
HTTP/1.1 302 Found
Date: Mon, 25 Mar 2019 07:57:41 GMT
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.27
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: login_error=Bad+user+name+or+password; expires=Mon, 25-Mar-2019 09:57:41 GMT; Max-Age=7200
Location: /login.php
Content-Length: 0
Connection: close
Content-Type: text/html
Set-Cookie: NB_SRVID=srv140717; path=/
推荐阅读
- nuget - 恢复nuget包冲突
- mysql - 如何优化具有多对多关系的 mysql COUNT() 查询(通过第三个表)
- flutter - Flutter-Web:url_launcher 链接小部件鼠标悬停
- javascript - 当包有声明文件时,如何将 Javascript 库导入 Typescript
- reactjs - 打字稿useState:带有参数的子项中的SetState
- python - 如何从 sqlalchemy 中的上层访问子类?
- ethereum - Solidity:扩展已经部署的合约
- javascript - 在画布中,有没有办法判断 img.src 何时完成加载?
- python - Pyspark's df.writeStream generates no output [SOLVED]
- pivot - TradingView 图表上的水平线