使用 ZAP 测试会话管理
Testing Session Management with ZAP
是否可以使用 ZAP 自动测试会话管理?
这应该是可能的,因为 ZAP 在 OWASP Testing Guide:
中被引用为测试会话管理的工具
Tools
OWASP Zed Attack Proxy Project (ZAP) - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project - features a session token analysis mechanism.
但是我找不到任何关于如何测试会话管理的文档。
注意:有很多关于 how to add authentication to ZAP 的文档,但没有关于如何测试它的文档。
ZAP 中包含多项与测试会话管理相关的功能。
您需要以下插件 (https://github.com/zaproxy/zap-core-help/wiki/HelpUiDialogsManageaddons)
- 插件主动扫描器规则(测试版)
- 插件被动扫描器规则(alpha)
- 插件被动扫描器规则(测试版)
- 插件被动扫描器规则(发布)
- 插件令牌生成和分析
- 插件视图状态
这些插件提供以下功能...
AddOn 主动扫描器
- 会话固定
- Cookie Slack Detector(显示会话 cookie 未实际执行的区域)
AddOn 被动扫描器
- 不安全的 JSF ViewState
- Viewstate 扫描仪
- 弱认证方法
- Cookie 没有 httpOnly 标志
- 没有安全标志的 cookie
- url重写中的会话 ID
插件令牌生成和分析
允许您生成和分析伪随机令牌,例如用于会话处理或 CSRF 保护的令牌
插件视图状态
ASP/JSF ViewState 解码器和编辑器
MainMenuBar > 工具 > Encode/Decode/Hash...
可以帮助识别有意义的令牌
与会话管理相比,以下插件与 authentication/authorization 的相关性更高,但是...
AddOn SAML 扩展
检测、显示、编辑、Fuzz SAML 请求
AddOn 访问控制测试
添加一组用于测试 Web 应用程序中的访问控制的工具
是否可以使用 ZAP 自动测试会话管理?
这应该是可能的,因为 ZAP 在 OWASP Testing Guide:
中被引用为测试会话管理的工具Tools
OWASP Zed Attack Proxy Project (ZAP) - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project - features a session token analysis mechanism.
但是我找不到任何关于如何测试会话管理的文档。
注意:有很多关于 how to add authentication to ZAP 的文档,但没有关于如何测试它的文档。
ZAP 中包含多项与测试会话管理相关的功能。
您需要以下插件 (https://github.com/zaproxy/zap-core-help/wiki/HelpUiDialogsManageaddons)
- 插件主动扫描器规则(测试版)
- 插件被动扫描器规则(alpha)
- 插件被动扫描器规则(测试版)
- 插件被动扫描器规则(发布)
- 插件令牌生成和分析
- 插件视图状态
这些插件提供以下功能...
AddOn 主动扫描器
- 会话固定
- Cookie Slack Detector(显示会话 cookie 未实际执行的区域)
AddOn 被动扫描器
- 不安全的 JSF ViewState
- Viewstate 扫描仪
- 弱认证方法
- Cookie 没有 httpOnly 标志
- 没有安全标志的 cookie
- url重写中的会话 ID
插件令牌生成和分析
允许您生成和分析伪随机令牌,例如用于会话处理或 CSRF 保护的令牌
插件视图状态
ASP/JSF ViewState 解码器和编辑器
MainMenuBar > 工具 > Encode/Decode/Hash...
可以帮助识别有意义的令牌
与会话管理相比,以下插件与 authentication/authorization 的相关性更高,但是...
AddOn SAML 扩展
检测、显示、编辑、Fuzz SAML 请求
AddOn 访问控制测试
添加一组用于测试 Web 应用程序中的访问控制的工具