使用ZAP测试会话管理
问题描述:
是否可以使用ZAP自动测试会话管理?使用ZAP测试会话管理
这应该是可能的,因为ZAP是作为OWASP Testing Guide测试会话管理的工具引用:
工具
OWASP Zed的攻击代理项目(ZAP) - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project - 有会话令牌分析机制。
但我找不到任何文档如何测试会话管理。
注意:有很多关于how to add authentication to ZAP的文档,但不是如何测试它。
答
个
ZAP中包含与测试会话管理相关的几个功能。
您需要以下附加元件(https://github.com/zaproxy/zap-core-help/wiki/HelpUiDialogsManageaddons)
- 附加组件主动扫描规则(试用版)
- 附加组件被动扫描器规则(阿尔法)
- 附加组件被动扫描器规则(试用版)
- 附加组件被动扫描器规则(发布)
- 附件令牌生成和分析
- 附件ViewState
这些插件提供以下功能...
附加元件主动扫描仪
- 会话固定
- 曲奇懈怠检测器(显示的区域,其中会话Cookie不实际执行)
附加元件被动扫描仪
- 不安全JSF的ViewState
- 视图状态扫描仪
- 弱认证方法
- 曲奇没有中HTTPOnly标志
- 饼干无安全标志的网址
- 会话ID重写
附加组件令牌生成和分析
允许您生成和分析的伪随机的令牌,诸如那些用于会话处理或CSRF保护
附加组件的ViewState
ASP/JSF视图状态解码器和编辑器
MainMenuBar>工具>编码/解码/散列。 ..
有助于确定有意义的令牌
个
以下插件更符合认证/授权比会话管理,但...
附加元件SAML扩展
检测,显示,编辑,发子SAML请求
附加元件访问控制测试
增加了一套用于测试web应用程序访问控制的工具
谢谢,这很有帮助。是否还有一些文件列出了这些功能? –
不是我所知道的。有ZAP用户指南(https://github.com/zaproxy/zap-core-help)和Zap Wiki(https://github.com/zaproxy/zaproxy/wiki/)。 您可以按照OWASP测试指南(https://www.owasp.org/images/1/19/OTGv4.pdf)“测试会话管理模式”中的方法并使用带有其AddOns的ZAP。 例如对于“会话ID可预测性和随机性”使用Addon“令牌生成和分析”。 –