OWASP ZAP提交表格
OWASP ZAP提交表格
提问于 2019-12-10 21:42:10
我试图使用OWASP在DVWA中查找SQL注入漏洞。经过几次点击页面后,我得到了一个小的站点地图:
我在GET:sqli节点上运行了活动扫描、蜘蛛和AJAX蜘蛛。正如您在上面的屏幕截图中所看到的,没有发现SQL注入漏洞。https://localhost:8081/vulnerabilities/sqli/页面中的表单操作也是如此:
只有当我手动提交表单时,表单操作才会显示在“站点”选项卡中:
而且,只有当我再次运行活动扫描时,才会检测到SQL注入漏洞。
有没有办法强制蜘蛛/主动扫描提交表单并自动检测它们的漏洞?
回答 1
Security用户
发布于 2019-12-11 09:28:26
默认情况下,ZAP蜘蛛确实提交表单,尽管您可以为传统的蜘蛛关闭它。同样,活动扫描器在默认情况下会攻击GET和POST请求,但这也是可配置的。为什么它没有在这个案件是另一回事,并将需要更多的调查。ZAP用户组可能是帮助调查这一问题的更好论坛:https://groups.google.com/group/zaproxy-users
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/222561
复制相关文章
相似问题
腾讯云开发者
