OWASP的ZAP和Fuzz能力

Question

我的情景：

我导航到登录页面。 我输入了一个密码错误的已知用户名。 ZAP没有选择这个问题。

我选择POST到登录页面。 我找到包含用户名和密码的行。密码： ctl00％24ContentPlaceHolder1％24cpLoginAspx％24ctl00％24LoginControl1％24LTLogin％24Password = 12345＆安培;

我突出显示12345并右键单击选择Fuzz。 我已经为测试帐户输入了一个包含正确密码的自定义列表，我选择了该密码。

当我这样做时，它按照我的预期在列表中运行。将12345更改为列表中的各种选项。

但是，当它知道“我知道”这个词是正确的密码时。提醒我这是正确的，没有什么不同。在这种情况下，密码是Password5。我预计它会反映或显示它被引导到新页面。但是，对于测试用户来说，“密码”会发生这种情况。

我在Fuzzer标签中看到了这个：

Answer 1

好的，我认为你提出的第一点是，ZAP并没有意识到你尝试过无效的密码。这不是一个安全风险 - 你提供了一个错误的密码，应用程序没有让你进入。一切都正常工作。

ZAP只会通过主动或被动扫描仪提醒您漏洞。 模糊器用于手动测试。如果我们找到一种自动检测漏洞的方法，那么我们将其放入主动或被动扫描仪中:) 因此，您必须解释模糊测试结果，而不是期望ZAP为您执行此操作。 无论如何，成功登录不是漏洞（以ZAP术语表示）。

fuzzer会告诉你的是你提供的字符串是否包含在响应中（在查找XSS时很有用），响应代码，所用时间和响应长度。

登录时，我希望响应长度会有很大差异，因此一种选择是寻找长度与其他响应长度明显不同的响应。

然而，最简单的选择可能是搜索模糊结果。 要执行此操作，请转到“搜索”选项卡，在下拉列表中选择“模糊结果”，然后搜索您知道将在成功登录时显示的字符串，或者反向搜索您知道将显示的字符串当你登录失败时。

这有帮助吗？

请注意，我们在ZAP wiki上有大量信息，包括视频，常见问题解答等等：http://code.google.com/p/zaproxy/wiki/Introduction

顺便说一句，我们确实有一个ZAP用户组，专门用于解决这些问题：http://groups.google.com/group/zaproxy-users 您也可以通过ZAP“在线/ ZAP用户组”菜单项访问它。 我试图关注论坛，但有很多问题一定会漏掉。

如果有人可以建议我如何说服人们使用ZAP用户组（所有ZAP开发者都订阅）而不是像这样的通用论坛（这对其他问题非常有用）那么我将非常感激：）

Simon（ZAP项目负责人）