1
로그인 페이지 유효성 검사의 품질을 확인하고 싶습니다. 그래서 이것을 달성하기 위해 OWASP zap을 사용할 수 있습니까? 나는 약한 세션 토큰, 에러 메시지 등의 생성뿐만 아니라 약한 비밀번호를 regonice하고 싶다. Zed Attack Proxy에서도 가능하다.어떻게 OWASP ZAP 도구를 사용하여 응용 프로그램의 유효성 검사를 할 수 있습니까?
A
답변
0
이러한 것들 중 일부에는 Zap passive scan을 사용할 수있다. 설정에 대해 더 많은 정보를 공유하면 Zap을 CI에 추가하는 것을 도와 줄 수 있습니다.
Zap이 비밀번호 정책을 구성하는 데 도움이되지 못했습니다. 프로덕션 환경에서 Zap을 실행하는 것은 좋지 않습니다. 따라서 라이브 사용자 암호 품질을 테스트하는 데 사용하지 않을 것입니다.
0
TokenGen 애드온을 통해 세션 토큰 등을 분석 할 수 있습니다.
당신은 ZAP 마켓 플레이스를 통해 추가 할 수 있습니다 : 추가되면 
, 바로 "당신은/생성 ('사이트'트리 또는 기록 탭 중 하나에서) 토큰을 분석하려는 요청/응답을 클릭하고 토큰 생성 ... ". 원하는 URL, 양식 또는 쿠키 매개 변수를 지정하십시오. ZAP은 토큰을 수집하고 분석을 제공합니다.
또한 도움말 내용은 여기에 있습니다 :