Pag-fuzz
Fuzzing is a technique of submitting lots of data to a target (often in the form of invalid or unexpected inputs).
ZAP allows you to fuzz any request using:
- A built-in set of payloads
- Ang mga payload ay nakatutukoy sa pamamagitan ng opsyonal na mga add-on
- Pagtangkilik ng mga iskripto
Para i-access ang Pagfuzz ng dayalog ikaw rin ay maaari:
- I-right click ang isang kahilingan ng isa sa ZAP na mga tab (tulad ng kasaysayan o mga site) at napiling "Attack / Fuzz..."
- I-highlight ang isang hanay na hiniling na tab, I-right click ito at piliin ang "Fuzz..."
- Piliin ang "Mga kasangkapan / Fuzz..." menu ng aytem at piliin ang kahilingan na gusto mo sa Fuzz
Mga Generator ng Payload
Payload Generators generate the raw values or attacks that the fuzzer submits to the target application.
Sila ay namamahala sa pamamagitan ng Mga payload dayalog.
Mga prosesor ng payload
Mga prosesor ng payload ay maaaring magamit para mapalitan ang tiyak na mga payload bago sila magpasa.
Sila'y namamahala sa pamamagitan ng Mga proseso ng payload dayalog.
Ang lokasyon ng mga prosesor ng Fuzz
Ang lokasyon ng Fuzz ng mga prosesor ay maaaring gamitin para palitan ang lahat ng mga payload bago ito i-submit.
Pinamamahalaan nila ito sa pamamagitan ng Lokasyon ng prosesor ng dayalogo.
Ang mga mensahe ng prosesor
Message Processors can access and change the messages being fuzzed, control the fuzzing process, and interact with the ZAP UI.
Pinamamahalaan nila ito sa pamamagitan ng Dayalogo ng Fuzz 'Mga mensahe ng prosesor' tab.
Some of this functionality is based on code from the OWASP JBroFuzz project and includes files from the fuzzdb project.
Note that some fuzzdb files have been left out as they cause common anti-virus scanners to flag them as containing viruses.
You can replace them (and upgrade fuzzdb) by downloading the latest version of fuzzdb and expanding it in the 'fuzzers' library.
Tignan din