Plug-n-Hack membolehkan anda untuk memonitori klien (browser) peristiwa di dalam urutan untuk membantu menguji aplikasi HTML5.
Di dalam urutan untuk mendukung berbagai lebarnya sebuah jangkauan dari browser modern semoga ini bisa dilakukan dengan cara menyuntikkan javascript
ke dalam respon pengembalian kepada browser.
Seperti itu sarana untuk merubah respon fungsinya ini harus diaktifkan secara manual.
Untuk menerima acara klien:
Javascript yang disuntikkan mengirimkan detak jantung ke ZAP, jadi ZAP dapat menampilkan semua klien 'aktif' di tab ini.
Dalam kasus ini klien 'aktif' adalah halaman yang saat ini terbuka di tab browser.
Anda dapat mengedit dan mengirim ulang acara apapun melalui item menu klik kanan asalkan klien asli aktif.
Anda juga bisa mencegat dan merubah posPesan dengan cepat.
Pesan klien yang dicegat jika 'pemutusan di semua permintaan' tombol yang dipilih pada tingkat atas toolbar.
Anda juga dapat mengatur kustom klien titik istirahat melalui sebuah tombol pada tab Klien.
Anda bisa fuzz posPesan di dalam cara yang sama seperti apapun pesan lainnya - menyorot string yang anda ingin fuzz dalam Permintaan tab, klik kanan dan pilih "Fuzz".
Pilihan ini hanya menjadi tersedia apabila pihak browser masih memiliki halaman yang terbuka,sebagai PnH mengirim beban berbayar kepada browser.
Standar 'XSS' beban berbayar yang bisa digunakan untuk mendeteksi DOM kerentanan XSS, tetapi anda akan membutuhkan untuk secara manual memantau UI untuk melihat apakah ada dari mereka yang sukses.
PnH juga menambahkan sebuah Kustom fuzzing file yang bernama "PlugnHack DOM XSS Oracle".
File ini berdasarkan pada OWASP XSS cheatsheet dan memohon sebuah metode 'xss' JavaScript yang diinjeksikan ke dalam halaman.
Metode ini memanggil API ZAP yang pada gilirannya menandai serangan yang relevan di UI - ini dikonfirmasi kerentanan DOM XSS,
Meskipun (seperti biasa), Anda harus memeriksa apakah benar-benar dapat dieksploitasi dalam aplikasi yang Anda uji tanpa alat seperti ZAP.