OWASP&x27；s-ZAP与模糊能力

我的设想：

我导航到一个登录页面。 我输入了一个已知的用户名和一个错误的密码。 ZAP没有发现任何问题

我选择登录页面的帖子。 我找到包含用户名和密码的行。密码： ctl00%24ContentPlaceholder 1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&

我高亮显示12345并右键单击以选择Fuzz。 我已经为测试帐户输入了一个带有正确密码的自定义列表，我选择了它

当我这样做的时候，它就像我期望的那样在列表中运行。将12345更改为列表中的各种选项

但是，当我知道这个词是正确的密码时。提醒我这是正确的，没有什么不同。本例中的密码是Password5。我希望它能反映出或者显示出它被导向了一个新的页面。但是，“密码”对测试用户来说是不正确的

我在Fuzzer选项卡中看到：

---

好的，我想你提出的第一点是，ZAP没有意识到你尝试了一个无效的密码。这不是一个安全风险-你提供了一个错误的密码，应用程序不允许你进入。一切正常

ZAP将仅通过主动或被动扫描仪提醒您存在漏洞。 fuzzer用于手动测试。如果我们找到了一种自动检测漏洞的方法，那么我们可以将其放在主动或被动扫描仪中：） 因此，您必须解释fuzzer结果，而不是期望ZAP为您这样做。 在任何情况下，成功登录都不是漏洞（用ZAPs术语）

fuzzer将告诉您的是，您提供的字符串是否包含在响应中（这在查找XSS时非常有用）、响应代码、所用时间和响应长度

当登录时，我希望响应长度会有显著的不同，因此一个选项是寻找一个长度与其他响应明显不同的响应

然而，最简单的选择可能是搜索模糊结果。 要执行此操作，请转到“搜索”选项卡，在下拉列表中选择“模糊结果”，然后搜索成功登录时将显示的字符串，或者反向搜索失败登录时将显示的字符串

这有用吗

请注意，我们在ZAP wiki上有大量信息，包括视频、常见问题解答和更多信息：

顺便说一句，我们有一个ZAP用户组，专门针对以下问题： 您还可以通过ZAP“在线/ZAP用户组”菜单项访问它。 我试图关注论坛，但论坛太多了，一些问题肯定会漏掉

如果有人能建议我如何说服人们使用ZAP用户组（所有ZAP开发人员都订阅），而不是像这样的通用论坛（这对其他问题非常有用），那么我将非常感激：）

西蒙（ZAP项目负责人）