我正在portswigger上做一个身份验证实验,这需要我比较多个HTTP请求,并找到它们之间的细微差异,以便找到有效的用户名。然而,我不知道如何使用OWASP ZAP做到这一点。有人能帮我一下吗?谢谢!
我要做的实验:https://portswigger.net/web-security/authentication/password-based/lab-username-enumeration-via-subtly-different-responses
我想做什么在ZAP: https://youtu.be/jJ_spcnCLr8?t=111
当您设置ZAP的模糊器设置用户名有效负载时,请转到"消息处理器";选项卡。移除"有效载荷反射探测器"。添加"标签创建者",设置为"提取"。设置"正则";作为warning>(Invalid.*)<。打开探测器。按"状态"对结果进行排序。列。注意,其中一个结果略有不同。