OWASP ZAP - 2 вопроса для начинающих

Question

Я начинаю с OWASP ZAP.После настройки прокси-сервера и «захвата» сети http://webscantest.com/ в OWASP ZAP я выполняю атаку «Паук»

Spider1

Затем вкарта сайта, я не нахожу папку "shutterdb" (которая существует), почему?

Spider 2

С другой стороны, я пытаюсь сделатьfuzzing в URL http://webscantest.com/login.php: щелкните правой кнопкой мыши в окне запроса, текст "passwd = ZAP"

fuzz1

, добавьте Playloads и нажмите«Start Fuzzer»

fuzz2

Мы показываем результаты «Код 302, Причина найдена», но 0 байтов в размере ответа и ничего в «Статусе» ... Что означаетэто?

fuzz3

Большое спасибо заранее за ваши комментарии.

Answer 1

Spider в основном идентифицирует все гиперссылки на странице и добавляет их в список URL-адресов для посещения, и процесс продолжается рекурсивно, пока новые ресурсы не найдены.https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsSpider

Это означает, что даже если ресурс ' shutterdb ' существует, он не будет найден пауком, если там нет гиперссылки, указывающей на него.

О 302 ответ, это код состояния HTTP для перенаправлений URL https://en.wikipedia.org/wiki/HTTP_302

302 Найденный код ответа о состоянии перенаправления указывает на то, что запрошенный ресурс был временно перемещен в URL-адрес, заданный Местоположение заголовок (/login.php)

HTTP/1.1 302 Found
Date: Mon, 25 Mar 2019 07:57:41 GMT
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.27
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: login_error=Bad+user+name+or+password; expires=Mon, 25-Mar-2019 09:57:41 GMT; Max-Age=7200
Location: /login.php
Content-Length: 0
Connection: close
Content-Type: text/html
Set-Cookie: NB_SRVID=srv140717; path=/