Fuzzing ou Difusão
Fuzzing is a technique of submitting lots of data to a target (often in the form of invalid or unexpected inputs).
ZAP allows you to fuzz any request using:
- A built-in set of payloads
- Payloads definidos pelos complementos opcionais
- Scripts personalizados
Para acesso ao diálogo do difusor/fuzzer você pode:
- usar no botão direito do mouse um request em uma das abas do ZAP (como Histórico ou Sites) e selecionar "Ataque / Fuzz...."
- Destacar uma seqüência de caracteres na guia de solicitação, clicar com o botão direito e selecionar "Fuzz..."
- Selecionar o item de menu "Ferramentas / Fuzz...." e a solicitação que você deseja em fuzz
Geradores de payload
Payload Generators generate the raw values or attacks that the fuzzer submits to the target application.
Eles são gerenciados por meio do diálogo de cargas/payloads.
Processadores de carga
Processadores de carga podem ser usados para alterar as cargas específicas antes de serem enviadas.
Eles são gerenciados por meio do diálogo de processadores de carga.
Processadores locais de Fuzz
Processadores locais de fuzz podem ser usados para alterar todas as cargas antes de serem enviadas.
Eles são gerenciados por meio do diálogo de processadores locais.
Processadores de mensagem
Message Processors can access and change the messages being fuzzed, control the fuzzing process, and interact with the ZAP UI.
Eles são gerenciados por meio da aba 'Processadores de Mensagem' no diálogo Fuzzer.
Some of this functionality is based on code from the OWASP JBroFuzz project and includes files from the fuzzdb project.
Note that some fuzzdb files have been left out as they cause common anti-virus scanners to flag them as containing viruses.
You can replace them (and upgrade fuzzdb) by downloading the latest version of fuzzdb and expanding it in the 'fuzzers' library.
Veja também