HelpReleases2_0_0

Rilis 1.3.0

Berikut perubahan yang dibuat dalam rilis ini:

Perubahan yang signifikan:

Pasar add-on terintegrasi

ZAP dapat diperluas dengan add-on yang memiliki akses penuh ke semua internal ZAP. Siapapun dapat menulis pengaya dan mengunggah mereka ke pasar pengaya ZAP (OK, jadi itu adalah sebuah proyek kode Google yang disebut zap-ekstensi, tetapi anda mendapatkan ide). Lebih penting sekarang peramban anda bisa, unduh dan pasang pengaya tersebut dari dalam ZAP. Kebanyakan penyaga dapat secara dinamis dipasang (dan dicabut pemasangan) sehingga anda bahkan tidak perlu mulai ulang. Anda dapat memilih untuk diberitahu tentang pembaruan, dan bahkan akan diperbarui secara otomatis. Dan saat aturan pemindaian sekarang diterapkan sebagai add-on Anda bisa mendapatkan peraturan terbaru segera setelah dipublikasikan.

Pengganti Spider 'standar'

Spider 'tua' menunjukkan umurnya, jadi sudah benar-benar ditulis ulang, dan jauh lebih cepat dan lebih komprehensif daripada yang lama. Ini masih merupakan laba-laba 'tradisional' yang menganalisis kode HTML untuk setiap tautan yang dapat ditemukannya.

Laba-laba 'Ajax' baru

Selain laba-laba 'tradisional' kami telah menambahkan Ajax laba-laba yang lebih efektif dengan aplikasi yang membuat penggunaan berat JavaScript. Ini menggunakan proyek Crawljax yang mendorong browser (menggunakan Selenium) dan sehingga dapat menemukan link apapun aplikasi menghasilkan, bahkan yang dihasilkan sisi klien.

Dukungan Socket Web

ZAP sekarang mendukung WebSockets, jadi ZAP sekarang dapat melihat semua pesan WebSocket yang dikirim ke dan dari browser Anda. Seperti dengan pesan berbasis HTTP, ZAP juga bisa mencegat pesan WebSocket dan memungkinkan Anda untuk mengubah mereka pada terbang. Anda juga dapat fuzz WebSockets pesan serta menggunakan semua muatan fuzzing yang termasuk dalam ZAP dari proyek-proyek seperti JBroFuzz dan fuzzdb. Dan tentu saja Anda dapat dengan mudah menambahkan file fuzzing.

Mulai cepat

Tab utama pertama yang Anda akan melihat adalah 'Cepat mulai' tab yang memungkinkan Anda untuk cukup ketik URL dan scan dengan satu klik. Ini adalah titik awal yang ideal untuk orang baru untuk aplikasi keamanan, tetapi para ahli dengan mudah dapat menghapusnya jika mereka menemukan mengganggu.

Sesi kesadaran

ZAP ini sekarang sesi kesadaran, sehingga ZAP yang dapat mengenali dan tetap melacak beberapa sesi. Ini memungkinkan Anda untuk menciptakan sesi baru, beralih di antara mereka, dan berlaku untuk semua komponen lain, seperti laba-laba dan aktif Scanner.

Didefinisikan pengguna konteks

Anda sekarang dapat menentukan jumlah 'konteks' - terkait set URL yang membuat aplikasi. Anda dapat menargetkan semua URL dalam konteks, misalnya menggunakan Spider atau aktif Scanner. Anda juga dapat menambahkan konteks untuk lingkup, dan mengaitkan informasi lainnya, seperti rincian otentikasi.

Lingkup Sesi

Lingkup sesi memungkinkan Anda untuk menentukan konteks yang Anda tertarik pada satu waktu. Anda dapat membatasi apa yang Anda lihat dalam berbagai tab untuk hanya URL dalam lingkup, dan mencegah sengaja menyerang URL tidak dalam lingkup dengan menggunakan modus dilindungi.

Host yang berbeda

ZAP sekarang mendukung 3 mode:

Brankas, di mana tidak ada operasi berbahaya diizinkan
Dilindungi, di mana Anda dapat melakukan tindakan pada URL dalam lingkup
Standar, di mana Anda dapat melakukan apa pun untuk setiap URL

Otentikasi dibatalkan

Anda sekarang dapat mengaitkan rincian otentikasi dengan konteks apapun, yang memungkinkan ZAP untuk melakukan hal-hal seperti mendeteksi jika dan ketika Anda log dan secara otomatis log Anda kembali lagi. Hal ini sangat berguna bila digunakan melalui API di tes regresi keamanan.

Lebih banyak dukungan API

REST API telah secara signifikan diperpanjang, memberikan Anda lebih banyak akses ke fungsionalitas ZAP menyediakan.

Baik kontrol pemindaian berkurai

Aturan aktif scan sekarang dapat disetel untuk menyesuaikan kekuatan mereka (jumlah serangan mereka melakukan) dan ambang batas yang mereka melaporkan potensi masalah.

Baru dan peningkatan aktif dan pasif pemindaian aturan

Kami telah meng-upload hasil dari menjalankan ZAP 2.0.0 terhadap wavsep (paling komprehensif sumber terbuka evaluasi proyek kami sadar) untuk ZAP wiki: https://github.com/zaproxy/zaproxy/wiki/Testing TODO ;)

Daftar lengkap perubahan:

Isu 43: Cakupan pilihan untuk penyaringan

Isu 163: Pemindai aktif gagal terhadap DVWA [ tinggi palsu positif benar negatif tingkat]

Isu 175: Lebih baik bruteforce wordlist

Isu 240: SocketException sementara fuzzing tidak ditangani dengan benar.

Isu 278: Sertifikat CA root untuk SSL dinamis tidak valid pada beberapa platform karena ExtendeKeyUsage ekstensi

Isu 281: Peringatan ketergantungan kelas JSON

Isu 299: Permintaan fitur: Tampilkan hitungan URI yang ditemukan selama Spider

Isu 305: Aturan pemindaian pasif untuk komentar mencurigakan seperti TODO dan FIXME

Isu 326: Waktu tanggapan dan panjang total permintaan manual

Isu 330: robots.txt parsing

Isu 332: Dukungan untuk mode

Isu 333: Spider - tambahkan pilihan untuk merangkup semuanya

Isu 335: Soket Web - tambahkan dukungan untuk mode dan cakupan

Isu 342: Tambahkan sebagai HttpSenderListener

Isu 350: Manajemen otentikasi

Isu 354: String serangan fuzzer tidak diperlihatkan

Isu 356: Buat formulir tes CSRF

Isu 358: Typo dalam "XFO Header Tidak Diatur" Solusi

Isu 360: subdirektori kekerasan

Isu 361: dapatkan HostPort pada HttpRequestHeader untuk HTTP CONNECT permintaan kembali port yang salah

Isu 370: API - simpan sesi penanganan kesalahan yang lebih baik

Isu 374: API - simpan sesi sinkron atau memberikan status

Isu 376: Menutupi kata sandi penyediaan untuk otentikasi

Isu 385: Dukungan konteks

Isu 386: API Web UI - dukungan parameter dengan pandangan

Isu 388: Memungkinkan pengguna untuk menentukan teknologi mana yang sesuai dengan konteks

Isu 390: Spider - Tambahkan pilhan untuk semua spider dalam konteks

Isu 391: Perbaikan kinerja ZAP

Isu 393: Lebih banyak tautan online dari menu

Isu 397: Dukungan mingguan dibangun

Isu 400: Membuat sertifikat CA baru akan selamanya menghasilkan sertifikat dengan nomor serial yang sama

Isu 401: Pengecualian saat spider (baru) dimulai melalui API

Isu 402: Label GUI tidak ditampilkan dengan benar pada Linux (ketika bahasa diatur ke polandia)

Isu 403: Tetapkan pilihan melalui API menggunakan refleksi

Isu 404: Label tidak ditampilkan dengan benar saat bahasa Persia dipilih

Isu 406: Spider - Tambahkan pilihan untuk mengontrol efek dari parameter pada URL yang dikunjungi

Isu 410: charset dibalut tanda petik

Isu 411: Memungkinkan port proxy ditentukan pada baris perintah

Isu 417: IndexOutOfBoundsException di ExtensionHTTPSessions dalam mode daemon

Isu 419: Restrukturisasi kode muat jar

Isu 420: API - dukungan jalur sesi absolut

Isu 421: Membersihkan semua benang pemindai aktif saat mematikan

Isu 422: Gunakan exec di zap.sh agar proses baru tidak bercabang

Isu 423: Pemindai aktif dan spider bisa kebuntuan jika mematikan ZAP saat mereka berlari

Isu 424: Pengecualian di Web Socket ketika membuka sesi

Isu 425: Tambahkan tab mulai cepat

Isu 428: Dukungan ZAP Pasar

Edisi 429: Aktif Scan URL melalui API scan lebih dari sekedar URL tertentu

Edisi 433: API: memperkenalkan parameter wajib dan opsional Deskripsi

Edisi 435: Aktif scan tanda mungkin "hilang" setelah menyimpan sesi

Edisi 436: Mengunci pada sesi Simpan atau shutdown melalui API

Isu 438: Penyempurnaan API

Isu 441: Lihat yang salah diinisialisasikan di banyak tempat saat berada dalam mode daemon

Edisi 443: "tidak ada tanda-tanda Anti-CSRF ditemukan di formulir pengajuan HTML" terdaftar sebagai "tidak ada. Peringatan hanya."

Isu 446: KeyStore dari penyedia PKCS#11 yang terdaftar tidak diambil jika penyedia PKCS#11 sudah terdaftar

Isu 447: Sorotan serangan saat menampilkan peringatan

Isu 448: Ubah nama Brute Force ext menjadi Forced Browse dan tambahkan URL ke pokok

Isu 449: Halaman bantuan hilang untuk panel "ekstensi" dalam dialog "Pilihan"

Isu 451: Pemeriksaan secara manual untuk pembaruan tidak bekerja dengan benar dalam rilis mingguan terbaru

Isu 453: Pemuatan dinamis dan bongkar muat dari pengaya

Edisi 455: Fuzzbd keluar berpecah addon baru

Edisi 456: Spider sesi penanganan tweeks

Edisi 457: Search Tab tombol panah dukungan

Edisi 459: Aktif scanner penguncian

Edisi 460: Menambahkan dialog progres scan

Edisi 461: Menambahkan bantuan file untuk memulai cepat addon

Isu 462: Pratinjau: Path/Review: SSLSocketFactory dengan TLS diaktifkan dan default pilihan Cipher

Edisi 466: Bergerak Port Scan perpanjangan untuk ZAP ekstensi proyek

Isu 468: Meningkatkan injeksi SQL aturan untuk 'rilis'

Isu 469: Mungkinkan token anti csrf untuk ditambahkan dan dihapus melalui API

Isu 471: Pindahkan ekstensi BeanSell ke proyek ekstensi ZAP

Edisi 472: Spider mengakses panel UI dalam modus daemon

Isu 473: Mungkinkan pengaya untuk hapus pandangan/komponen untuk panel pesan

Isu 474: Promosikan awal yang cepat untuk status perilisan

Isu 478: Mungkinkan untuk memilih ke mengirim cookie yang dikelola ZAP pada header tunggal permintaan Cookie dan menetapkannya sebagai bawaan

Lihat juga

	Lihat juga	pengantar ZAP
	Rilis	set lengkap rilis
	Kredit	orang-orang dan kelompok-kelompok yang telah membuat rilis ini mungkin

ZAP Panduan Pengguna
- Perkenalan
- Memulai
- Antarmuka pengguna
- Command Line
- Add Ons
- Releases
  - 2.7.0
  - 2.6.0
  - 2.5.0
  - 2.4.3
  - 2.4.2
  - 2.4.1
  - 2.4.0
  - 2.3.1
  - 2.3.0
  - 2.2.2
  - 2.2.1
  - 2.2.0
  - 2.1.0
  - 2.0.0
  - 1.4.1
  - 1.4.0
  - 1.3.4
  - 1.3.3
  - 1.3.2
  - 1.3.1
  - 1.3.0
  - 1.2.0
  - 1.1.0
  - 1.0.0
- Paros Proxy
- Kredit