Использование поиска в OWASP ZAP (Zed Attack Proxy)

OWASP ZAP

Одним из ключевых инструментов OWASP ZAP, является функция поиска, которая позволяет находить информацию и уязвимости с использованием регулярных выражений. В этой статье расскажу, как использовать поиск ZAP.

Еще по теме: Как создать отчет OWASP ZAP

Использование поиска в OWASP ZAP (Zed Attack Proxy)

Вкладка Search (Поиск) является важной частью пользовательского интерфейса OWASP ZAP и предоставляет механизм поиска данных внутри тестируемого веб-приложения. Эта функция позволяет искать контент с использованием регулярных выражений как в урлах, так и в данных запросов, ответов, заголовков и результатов обработки HTTP-фаззинга.

На этой вкладке ZAP предоставляет механизм поиска, где вы можете искать регулярные выражения по всем данным или только в урлах, запросах, ответах, заголовках или результатах обработки HTTP-фаззинга данных. Вкладка Search имеет восемь опций.

Иконка, выделенная на следующем скриншоте, предназначена для поиска только по урлам, которые находятся в пределах контекста. Чтобы использовать эту функцию, урл в разделе Sites (Сайты) должен быть добавлен в контексты. После выбора, иконка мишени станет красной, вместо серой.

Вкладка Search (Поиск) ZAP

Прокрутите вправо, следующее поле, которое выделено красным — это поле ввода строки поиска. Оно используется для поиска контента с использованием регулярных выражений.

Кнопка Контексты ZAP

Параметры поиска основаны на конкретных полях, и выбор представлен в раскрывающемся меню. В этом меню вы можете выбрать, хотите ли вы искать, используя регулярные выражения, все данные или только URL-адреса, запросы, ответы, заголовки или результаты обработки HTTP-фаззинга.

Поле ввода ZAP

Далее идет флажок Inverse (Инвертировать). Если он отмечен, как показано на рисунке ниже, ZAP будет искать все, что не содержит регулярное выражение, которое вы ищете.

Раскрывающееся меню Search

После ввода текста с использованием регулярного выражения, вам нужно нажать кнопку Search с лупой. После нажатия начнется поиск регулярного выражения.

Флажок Inverse ZAP

После завершения поиска вы можете использовать кнопки Next (Далее) или Previous (Предыдущий) для перемещения к следующему или предыдущему элементу в результате поиска.

Кнопка Поиск

Также на вкладке Search есть поле, которое предоставляет информацию о результатах поиска. Это покажет количество совпадений, т.е. сколько результатов совпало с искомым регулярным выражением:

Кнопки Далее и Предыдущий

И, наконец, есть кнопка «Экспорт». При нажатии на нее пользователь сможет экспортировать результаты поиска и сохранить их как CSV-файл в локальное хранилище:

Кнопка Экспорт ZAP

Заключение

Использование функции поиска в OWASP ZAP поможет в обнаружении информации и уязвимостей в веб-приложениях. С помощью регулярных выражений сможете гибко настраивать поиск и находить различные данные и уязвимости.

ПОЛЕЗНЫЕ ССЫЛКИ:

Ban32

Хакер-самоучка, который может взломать тостер и настроить его на отправку вам утреннего приветствия в коде Морзе.

Добавить комментарий