OWASP ZAPでSQLインジェクションを利用しますか?
攻撃モードでZAPを使用してWebサイトの通常のスキャン(ファジングではない)を実行しましたが、いくつかの注入が可能です。私の質問は、自分でSQLマップを使用せずに、これらをZAP内で活用する方法があるかどうかです。
短い答え:
いいえ(少なくとも、私が使用したバージョンでは)
長い回答:
ZAPは悪用ツールではなく、脆弱性検出ツールです。ただし、ZAPを使用してSQLインジェクションが可能かどうかを判断することはできますが、SQLインジェクションの可能性をすでに検出しているため、次のステップは、それが真陽性か偽陽性かを確認するために利用しています。
これが正当なセキュリティ評価である場合、SQLmapを使用したり手動で悪用したりすることの何が問題になっていますか?
Zapブラウザー(MITM)を使用して、エクスプロイトしたいPOSTまたはGETを強調表示し、変更した入力で再生します。[クイックスタート]タブで、下にスクロールしてウィンドウを開き、ブラウザでWebサイトを起動します。サイトに移動し、返された情報を確認します。手動で右クリックして特定の情報を見つけ、[リクエストエディターで開く/再送信]を選択します。そこでデータを変更できます送信する前に、サーバー側の応答を取得します。