如何解决如何在 OWASP 测试中为 POST、PUT、PATCH 方法生成数据?
如何为 Owasp 测试中的 POST、PUT 和 PATCH 方法准备数据?现在,我使用默认数据(示例属性)导入了 openAPI,但是在主动扫描期间,我一直处于状态 400 并且没有检查任何内容。这是由我的应用程序(数据库)中的密钥违规或其他约束引起的。为了避免它,我准备了脚本(类型:httpSender),它修改(生成)正文中的字段以提供唯一性。类似的东西:
function sendingRequest(msg,initiator,helper) {
...
if(HTTP_METHOD.equals("POST")) {
switch(URI) {
case POST_SERVICES: {
changeRequestBodyByGeneratingValues(msg,['systemName','name'],'owasp-test-service','');
break;
}
... itd
}
...
}
function changeRequestBodyByGeneratingValues(msg,properties,prefix,suffix) {
var bodyToModify = JSON.parse(msg.getRequestBody().toString())
counter = counter + 1;
for (var key in bodyToModify) {
for (var i = 0; i < properties.length; i++) {
if (properties[i] === key) {
bodyToModify[key] = prefix + counter + suffix;
// print(key + " -> " + bodyToModify[key]);
}
}
}
msg.setRequestBody(JSON.stringify(bodyToModify))
msg.getRequestHeader().setContentLength(msg.getRequestBody().length());
}
现在我的请求正在通过,但我的主动扫描没有发现任何特别之处。它甚至无法识别属性中的简单 sql 注入。例如:“cityExample AND 1=1 --”。
有没有可能是我修改后的识别机制失效了?解决这个问题是否比脚本更好的解决方案(我认为,这确实是这个库中应该涵盖的标准案例)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。