我需要手动确认。以下......我该怎么做呢?
我已尝试将参数作为登录名,并将ZAP AND 1 = 1--作为表单中的密码....这不起作用。我是否甚至使用登录表单或使用URL并制作一个特殊的URL来成功攻击它?
网址:https://xx.xxx.xx.xxx/scripts/userscripts/UserScript.pl?function=commitmodifyirisagent
方法:POST
参数:site
攻击ZAP并且1 = 1 -
答案 0 :(得分:1)
为什么不使用Zap提供的URL复制攻击?你可以在Zap的报告中看到什么是可疑网址,还有一个证据。