Фаззинг
Fuzzing is a technique of submitting lots of data to a target (often in the form of invalid or unexpected inputs).
ZAP allows you to fuzz any request using:
- A built-in set of payloads
- Полезные нагрузки, определенные дополнительными дополнениями
- Пользовательские сценарии
К доступу Диалог фаззера вы также можете:
- Щелкните правой кнопкой мыши запрос на одном из вкладок ZAP (например, история или сайты) и выберите «Атаку / Fuzz ...»
- Выделите строку на вкладке «Запрос», щелкните правой кнопкой мыши и выберите «FUZZ ...»
- Выберите пункт меню «Инструменты / Fuzz ...», а затем выберите запрос, который вы хотите FUZZ
Генераторы полезной нагрузки
Payload Generators generate the raw values or attacks that the fuzzer submits to the target application.
Они управляютя через Диалог полезных нагрузок .
Процессоры полезной нагрузки
Процессоры полезной нагрузки могут быть использованы для изменения определенных полезных нагрузок, прежде чем они будут представлены.
Они управляются
через Диалог процессоров полезной нагрузки .
Процессоры местоположения Fuzz
Процессоры местоположения Fuzz могут быть использованы для изменения всех полезных нагрузок, прежде чем они будут представлены.
Они управляютя через Диалог процессоров местоположения .
Процессоры сообщений
Message Processors can access and change the messages being fuzzed, control the fuzzing process, and interact with the ZAP UI.
Они управляются
через Диалог фаззера «Процессоры сообщения» вкладка.
Some of this functionality is based on code from the OWASP JBroFuzz project and includes files from the fuzzdb project.
Note that some fuzzdb files have been left out as they cause common anti-virus scanners to flag them as containing viruses.
You can replace them (and upgrade fuzzdb) by downloading the latest version of fuzzdb and expanding it in the 'fuzzers' library.
Смотрите также