Plug-n-Hack, HTML5 uygulamalarının test edilmesine yardımcı olmak için istemci (tarayıcı) olaylarını izlemenize izin verir.
Modern tarayıcıları mümkün olduğunca geniş bir yelpazede desteklemek için tarayıcıya verilen yanıtta
javascript enjekte edilerek uygulanır.
Yanıt değişikliği anlamına geldiğinden, bu işlevsellik manuel olarak etkinleştirmelidir.
İstemci olaylarını almak için:
Enjekte edilen javascript ZAP'a bir kalp atışı gönderdiğinden, ZAP bu 'aktif' tüm istemcileri bu sekmede gösterebilir.
Bu durumda 'etkin' istemciler mevcut bir tarayıcı sekmesinde açık olan sayfalardır.
Orijinal istemci etkin olduğu sürece herhangi bir etkinliği sağ tıklama menüsü öğesi üzerinden düzenleyebilir ve yeniden gönderebilirsiniz.
Ayrıca postMessages'i anında engelleyebilir ve değiştirebilirsiniz.
Üst düzey araç çubuğunda ‘Tüm istekleri kes’ butonu seçilirse istemci mesajları engellenir.
Özel istemci kesme noktalarını İstemciler sekmesindeki bir düğme ile de ayarlayabilirsiniz.
postMessages'ı diğerleri gibi herhangi bir mesajla aynı şekilde türetebilirsiniz - fuzz'lamak istediğiniz dizeyi İstek sekmesinde vurgulayın, sağ tıklayın ve “Fuzz”'ı seçin.
Bu seçenek yalnızca, tarayıcıya PnH yükleri gönderdiğinden ilgili tarayıcı o sayfayı açmışsa kullanılabilir.
Standart ‘XSS’ yükleri, DOM XSS güvenlik açıklarını tespit etmek için kullanılabilir, ancak bunların herhangi birinin başarılı olup olmadığını görmek için kullanıcı arayüzünü manuel olarak izlemeniz
gerekecektir.
PnH ayrıca “PlugnHack DOM XSS Oracle” adlı bir Özel fuzz dosyası ekliyor.
Bu dosya OWASP XSS cheatsheet'e dayanmaktadır ve sayfaya enjekte edilen bir 'xss' JavaScript yöntemini çağırır.
Bu yöntem, kullanıcı arabirimindeki ilgili saldırıyı işaretleyen ZAP API'sini çağırır; bunlar (her zaman olduğu gibi), ZAP gibi bir araç olmadan test etmekte olduğunuz uygulamada gerçekten de kullanılabileceğini kontrol etmeniz gerekirken, DOM XSS'e ait güvenlik açıklarını doğrular.