Одним из ключевых инструментов OWASP ZAP, является функция поиска, которая позволяет находить информацию и уязвимости с использованием регулярных выражений. В этой статье расскажу, как использовать поиск ZAP.
Еще по теме: Как создать отчет OWASP ZAP
Использование поиска в OWASP ZAP (Zed Attack Proxy)
Вкладка Search (Поиск) является важной частью пользовательского интерфейса OWASP ZAP и предоставляет механизм поиска данных внутри тестируемого веб-приложения. Эта функция позволяет искать контент с использованием регулярных выражений как в урлах, так и в данных запросов, ответов, заголовков и результатов обработки HTTP-фаззинга.
На этой вкладке ZAP предоставляет механизм поиска, где вы можете искать регулярные выражения по всем данным или только в урлах, запросах, ответах, заголовках или результатах обработки HTTP-фаззинга данных. Вкладка Search имеет восемь опций.
Иконка, выделенная на следующем скриншоте, предназначена для поиска только по урлам, которые находятся в пределах контекста. Чтобы использовать эту функцию, урл в разделе Sites (Сайты) должен быть добавлен в контексты. После выбора, иконка мишени станет красной, вместо серой.
Прокрутите вправо, следующее поле, которое выделено красным — это поле ввода строки поиска. Оно используется для поиска контента с использованием регулярных выражений.
Параметры поиска основаны на конкретных полях, и выбор представлен в раскрывающемся меню. В этом меню вы можете выбрать, хотите ли вы искать, используя регулярные выражения, все данные или только URL-адреса, запросы, ответы, заголовки или результаты обработки HTTP-фаззинга.
Далее идет флажок Inverse (Инвертировать). Если он отмечен, как показано на рисунке ниже, ZAP будет искать все, что не содержит регулярное выражение, которое вы ищете.
После ввода текста с использованием регулярного выражения, вам нужно нажать кнопку Search с лупой. После нажатия начнется поиск регулярного выражения.
После завершения поиска вы можете использовать кнопки Next (Далее) или Previous (Предыдущий) для перемещения к следующему или предыдущему элементу в результате поиска.
Также на вкладке Search есть поле, которое предоставляет информацию о результатах поиска. Это покажет количество совпадений, т.е. сколько результатов совпало с искомым регулярным выражением:
И, наконец, есть кнопка «Экспорт». При нажатии на нее пользователь сможет экспортировать результаты поиска и сохранить их как CSV-файл в локальное хранилище:
Заключение
Использование функции поиска в OWASP ZAP поможет в обнаружении информации и уязвимостей в веб-приложениях. С помощью регулярных выражений сможете гибко настраивать поиск и находить различные данные и уязвимости.
ПОЛЕЗНЫЕ ССЫЛКИ: