パッシブスキャンルール - Alpha

以下のアルファステータスのパッシブスキャンルールがこのアドオンに含まれています:

An example passive scan rule which loads data from a file

This implements an example passive scan rule that loads strings from a file that the user can edit.
For more details see: Hacking ZAP Part 3: Passive Scan Rules.

最新のコード: ExampleFilePassiveScanRule.java

Base64の漏洩

注: 低しきい値では、各レスポンス内のすべての発生が含まれます。

最新のコード: Base64Disclosure.java
アラートID: 10094.

Example Passive Scan Rule: Denial of Service

This implements a very simple example passive scan rule.
For more details see: Hacking ZAP Part 3: Passive Scan Rules.

最新のコード: ExampleSimplePassiveScanRule.java

Fetch Metadataリクエストヘッダースキャンルール

Fetch Metadata リクエストヘッダーは、HTTP リクエストヘッダーで、リクエストのオリジンに関する追加情報を提供します。 この追加情報は、サーバーがリソース隔離ポリシーを実装するのを助け、外部サイトが共有を意図したリソースのみをリクエストし、適切に使用されるようにします。 このアプローチは、CSRF、クロスサイトスクリプトインジェクション、タイミング攻撃、クロスオリジン情報漏洩などの一般的なクロスサイトウェブ脆弱性を緩和するのに役立ちます。 Fetch Metadata リクエストヘッダーは以下の通りです: ( Fetch Metadata Headers より)

Sec-Fetch-Site は、リクエストイニシエーターのオリジンとリクエストされたリソースのオリジン間の関係を示します。 (Sec-Fetch-Site より))

Sec-Fetch-Mode は、サーバーが HTML ページ間をナビゲートするユーザーからのリクエストと、画像や他のリソースをロードするリクエストを区別できるようにします。 (Sec-Fetch-Mode より)

Sec-Fetch-Dest は、リクエストされたリソースがどこでどのように使用されるかを示します。 (Sec-Fetch-Dest より)

Sec-Fetch-User は、ユーザーアクティベーションによって開始されたリクエストに対してのみ送信されます。 (Sec-Fetch-User より)

生成されるアラート:

最新のコード: FetchMetadataRequestHeadersScanRule.java
アラートID: 90005.

フルパスの露見スキャンルール

フルパス露見の脆弱性とは、アプリケーションのルートパスが攻撃者に貴重な情報を提供するものです。 フルパス露見の脆弱性の例: /home/omg/htdocs/file/ または C:\Users\username\server\

攻撃者はこのパスを使用して、資格情報や他のプライベート情報を窃取する可能性があります。 詳細については OWASP 記事 を参照してください。

最新のコード: FullPathDisclosureScanRule.java
アラートID: 110009.