Fuzzing
Fuzzing is a technique of submitting lots of data to a target (often in the form of invalid or unexpected inputs).
ZAP allows you to fuzz any request using:
- A built-in set of payloads
- Carga útil definida por complementos opcionales
- Guiones personalizados
Para acceder al Diálogo Fuzzer tu también puedes:
- Haga clic con el botón derecho en una de las pestañas de ZAP (como Historial o Sitios) y seleccione "Ataque / Fuzz"
- Resalta una cadena en la pestaña Solicitud, haz clic con el botón derecho y selecciona "Fuz"
- Seleccione el elemento de menú "Herramientas / Fuzz..." y luego seleccione la solicitud que desea difuminar
Generadores de carga útil
Payload Generators generate the raw values or attacks that the fuzzer submits to the target application.
Se administran a través de Diálogo de cargas útiles.
Procesadores de carga útil
Los procesadores de carga útil se pueden usar para cambiar cargas útiles específicas antes de que se envíen.
Se administran a través de Diálogo de procesadores de carga útil.
Procesadores de ubicación Fuzz
Los procesadores de ubicación Fuzz se pueden usar para cambiar todas las cargas antes de enviarlas.
Se administran a través de Diálogo de procesadores de carga útil.
Procesadores de mensajes
Message Processors can access and change the messages being fuzzed, control the fuzzing process, and interact with the ZAP UI.
Se administran a través de Diálogo Fuzzer Pestaña de Procesadores de mensajes.
Some of this functionality is based on code from the OWASP JBroFuzz project and includes files from the fuzzdb project.
Note that some fuzzdb files have been left out as they cause common anti-virus scanners to flag them as containing viruses.
You can replace them (and upgrade fuzzdb) by downloading the latest version of fuzzdb and expanding it in the 'fuzzers' library.
Vease también