OWASP ZAP - документация сценария jython

Question

Я SQLi тестирую веб-приложение клиента, и для этого я использую OWASP ZAP. Поскольку веб-страница, которая получает введенное значение, всегда перенаправляет пользователя с помощью ответа JSON (код состояния HTTP по-прежнему 200 OK), я пытаюсь разработать сценарий на основе jython, чтобы заставить инструмент выдавать запрос на предоставленный json URL перенаправления.

Проблема в том, что внутренняя документация ZAP является довольно грязной ... Я не понимаю, как я должен ссылаться на вещи на вкладке «Сценарии».

Я попробовал следующий "Proxy" сценарий:

import org.zaproxy.clientapi.gen.Core as core1; 

def proxyResponse(msg): 
    # Debugging can be done using print like this 
    print(core1.version().getName()); 

    return True; 

но все я получаю это java.lang.reflect.UndeclaredThrowableException ошибка. Вкладка «Выход» пуста, и я не смог найти другую информацию. Кто-нибудь знает, как решить эту проблему или где я могу найти другую документацию или сценарий примера jython, чтобы помочь мне в этом?

Answer 1

Я немного смущен тем, что вы пытаетесь сделать: org.zaproxy.clientapi.gen.Core является частью API-клиента ZAP и поэтому не включен в сам ZAP.

Можете ли вы начать тему в группе пользователей ZAP: http://groups.google.com/group/zaproxy-users Да, документация может быть лучше. Но мы предоставляем группы пользователей и разработчиков, которые связаны с меню ZAP 'Online'. Если только больше людей будут использовать их;)

Саймон (ZAP Project Lead)