使用 ZAP 测试会话管理

Question

是否可以使用ZAP自动测试会话管理？

这应该是可能的，因为 ZAP 在OWASP 测试指南中被引用为测试会话管理的工具：

工具

OWASP Zed 攻击代理项目 (ZAP) - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project - 具有会话令牌分析机制。

但是我找不到任何有关如何测试会话管理的文档。

注意：有很多关于如何向 ZAP 添加身份验证的文档，但没有关于如何测试它的文档。

Answer 1

ZAP 中包含几个与测试会话管理相关的功能。

您需要以下插件（https://github.com/zaproxy/zap-core-help/wiki/HelpUiDialogsManageaddons）

• 插件主动扫描器规则（测试版）
• 插件被动扫描器规则 (alpha)
• 插件被动扫描器规则（测试版）
• 插件被动扫描器规则（发布）
• Addon Token 生成与分析
• 插件视图状态

这些附加组件提供以下功能...

附加主动扫描器

• 会话固定
• Cookie Slack Detector（显示实际上未强制执行会话 cookie 的区域）

附加被动扫描仪

• 不安全的 JSF 视图状态
• 视图状态扫描器
• 弱认证方法
• Cookie 没有 httpOnly 标志
• 没有安全标志的 cookie
• url重写中的会话ID

Addon Token 生成与分析

允许您生成和分析伪随机令牌，例如用于会话处理或 CSRF 保护的令牌

插件视图状态

ASP/JSF ViewState 解码器和编辑器

MainMenuBar > 工具 > 编码/解码/散列...

可以帮助识别有意义的令牌

以下插件与身份验证/授权比会话管理更相关，但是......

附加 SAML 扩展

检测、显示、编辑、模糊 SAML 请求

附加访问控制测试

添加了一组用于测试 Web 应用程序中的访问控制的工具