Mga Plug-n-Hack Client tab

Hinahayaan ka ng Plug-n-Hack na subaybayan ang mga kaganapan ng client (browser) upang matulungan ang mga pagsubok na mga application ng HTML5.
Upang masuportahan ang malawak na hanay ng mga modernong browser hangga't maaari ito ay ipinatupad sa pamamagitan ng pag-inject ng javascript sa tugon na ibinalik sa browser.
Dahil nangangahulugan ito ng pagpapalit ng tugon ang pag-andar na ito ay dapat na manu-manong pinapagana.

Tanggapin ang mga pangyayari sa kliyente:

• I-access ang mga pahina na gusto mong imonitor habang nagsisilbing proxy para sa pamamagitan ng ZAP
• Mag-right click sa may-katuturang mga (mga) node sa puno ng Mga Site at piliin ang 'Subaybayan ang mga kliyente -> Isama ang subtree'
• Pumilitin ang iyong browser na i-reload ang mga pahinang iyon
• Client events (such as postMessage, click, mouseover, etc.) will then be listed in this tab - select them to see the full details.

Ang injected javascript ay nagpapadala ng tibok ng puso sa ZAP, kaya maaaring ipakita ng ZAP ang lahat ng mga 'aktibong' kliyente sa tab na ito. Sa kasong ito ang 'aktibong' mga kliyente ay mga pahina na kasalukuyang bukas sa isang tab ng browser. Maaari mong i-edit at muling ipahiwatig ang anumang kaganapan sa pamamagitan ng isang item sa right click menu hangga't aktibo ang orihinal na kliyente.

Maaari mo ring maharang at baguhin ang postMessages sa mabilisang. Ang mga mensahe ng client ay naharang kung ang pindutan ng 'break sa lahat ng mga kahilingan' ay pinili sa tuktok na toolbar ng antas. Maaari ka ring magtakda ng mga custom breakpoints ng client sa pamamagitan ng isang pindutan sa tab na Kliyente.
Ang paraan na nananawagang ang ZAP API na naman ang flag ng kaugnay na atake sa mga UI - ang mga ito ay nakumpirma DOM XSS kahinaan, kahit na (tulad ng dati) dapat mong tingnan ay talagang sila pinagsasamantalahan ang application mo ay pagsubok nang walang isang kasangkapan tulad ng ZAP.