Skip to content
This repository has been archived by the owner on Jan 18, 2022. It is now read-only.

HelpReleases2_7_0

Jump to bottom
psiinon edited this page Feb 8, 2018 · 1 revision

Rilis 1.3.0

Ini adalah perbaikan bug dan peningkatan rilis, yang memerlukan minimal Jawa 8.

Beberapa dari perangkat tambahan yang lebih signifikan termasuk:

  • Pelansiran browser dimasukkan secara default - ini mengizinkan anda untuk melansirkan browser dari ZAP yang sudah dikonfigurasikan sebelumnya pada proxy melalui ZAP dan mengesampingkan suatu peringatan sertifikat karena sesuai sertifikat root ZAP.
  • Mengizinkan ZAP untuk mendengarkan pada beberapa alamat/port
  • Dukung nama indikasi server
  • Memperbarui mesin NTLM implementasi - ini menyelesaikan hal dimana domain tersebut disahkan dan memperbaiki antar kemampuan dengan implementasi (server) NTLM lainnya
  • Banyaknya dari API terbaru titik akhir - lihat di bawah untuk rinciannya

Sebagai Catatan bahwa jika anda mempunyai masalah apa saja dengan rilis ini lalu disana ada juga sebuah menu item 'Help/Support Info...' terbaru yang menyertakan informasi penting tentang pemasangan ZAP anda yang harus anda sertakan dengan masalah apapun yang anda timbulkan.

Perangkat Tambahan:

  • Edisi 1015: Dukungan nama server indikasi
  • Edisi 1313 : laba-laba - memungkinkan untuk mengkonfigurasi batas dari tanggapan yang dapat di uraikan
  • Issue 1604 : Impor berkas kebijakan melalui API
  • Edisi 1620 : Tambahkan titik akhir untuk mendapatkan jumlah peringatan yang dikelompokkan berdasarkan tingkat risiko
  • Edisi 1681 : Ubah 'scan aktif' untuk menampilkan permintaan n terakhir, bukan yang terakhir
  • Masalah 2411: Peringatkan jika sertifikat akar SSL CA dinamis kadaluarsa
  • Edisi 2615 : Menyaring laporan ZAP untuk menunjukkan barang resiko tinggi
  • Edisi 3040 : Ekspor tab isi param
  • Edisi 3101 : izinkan tambahan untuk menggunakan versi semantik
  • Edisi 3156 : gunakan G1 sebagai pengumpul sampah default
  • Edisi 3253 : ekspor URLs per konteks
  • Edisi 3365 : perangkat tambahan: mengecualikan pola global default
  • Edisi 3367 : mengekspos jalan rumah ZAP's melalui ZAP API
  • Edisi 3374 : Sesuaikan dengan lebar kolom yang disukai pengguna
  • Edisi 3381: i18n inti ekstensi nama
  • Masalah 3387: Memungkinkan esc untuk menutup AbstractFormDialog
  • Edisi 3392 : tampilkan semua pesan-pesan terkirim oleh laba-laba
  • Masalah 3395: Menambahkan opsi untuk laba-laba secara anonim dengan sesi
  • Edisi 3398 : Meningkatkan batas nilai variabel naskah global
  • Edisi 3404 : Tambahkan token CSRF standar baru untuk menjaga OWASP CSRF
  • Edisi 3408 : Perbaiki penanganan kesalahan saat menyetel ulang opsi
  • Edisi 3443 : Menampilkan pilihan waspada melalui ZAP API
  • Isu 3446: Peningkatan: Menambahkan kesanggupan untuk mengekspor sebuah Peta Situs lewat Menu Konteks
  • Edisi 3457 : izinkan untuk menyaring inti tujuan "urls" oleh URL dasar
  • Edisi 3460 : Peningkatan: Berikan bantuan untuk menemukan direktori log di UI
  • Edisi 3461 : Peningkatan: Jelajahi API tidak berfungsi saat browser tidak menggunakan ZAP sebagai proxy
  • Edisi 3476 : Izinkan peraturan pasif memilih jenis pesan
  • Edisi 3481 : ekspor tabel-tabel melalui UI
  • Edisi 3498 : Peningkatan kecil: Dukung kolom yang sama di hasil pencarian sebagai tab sejarah
  • Edisi 3500 : izinkan untuk mengelola pesan-pesan tag di beberapa tab
  • Edisi 3508 : Gunakan mesin ECMAS naskah yang lebih baru jika tersedia
  • Edisi 3514 : Memungkinkan untuk mendapatkan beberapa pesan melalui ID
  • Edisi 3521 : Permintaan pningkatan: Tambahkan filter ke panel opsi pindai pasif
  • Edisi 3527 : Perbarui naskah dasar untuk mendukung python 3
  • Edisi 3529 : Izinkan menambahkan tag dengan aturan pasif
  • Edisi 3533 : tambahkan tombol ekpor tabel
  • Edisi 3539 : peningkatan: kumpulkan pesan-pesan untuk dipindai sebelum pemindaian aktif
  • Edisi 3552 : mengekspos tag pesan melalui ZAP API
  • Edisi 3559 : pilihan ZAP API untuk mengeluarkan laporan dari format JSON
  • Edisi 3574 : menunjukkan nama tambahan dalam panel ekstensi
  • Edisi 3587 : izinkan untuk menggunakan sistem lokal untuk memformat
  • Edisi 3594 : kemampuan ZAP API untuk menentukan domain/alamat yang API akan sajikan dari
  • Edisi 3595 : cetak args dan kesalahan msg ketika gagal untuk mengurai args
  • Edisi 3599 : selalu menyerang dorongan data node
  • Edisi 3619 : menunjukkan plugin sebagai MATI, dalam kebijakan panel-panel, jika dinonaktifkan
  • Edisi 3626 : izinkan untuk menghapus pesan-pesan dengan pintasan keyboard
  • Edisi 3676 : peningkatan: menghapus satu peringatan menggunakan api
  • Edisi 3681 : gunakan pemutar nomor untuk koneksi telah habis
  • Edisi 3686 : izinkan untuk meimil peringatan CWE/WASC IDs dan sumber
  • Masalah 3688: Menampilkan pemindai ID/nama di Alert tab
  • Edisi 3691 : Laporan HTML yang dimodernisasi dan disempurnakan
  • Edisi 3700 : memastikan panel dengan kesalahan validasi yang terlihat
  • Edisi 3714 : laba-laba - laporan# dari penemuan titik akhir baru
  • Edisi 3727 : situs Tree Alpha sort harus mengabaikan metode HTTP
  • Edisi 3733 : Ascan API - kembali menghitung peringatan untuk setiap pemindai
  • Edisi 3739 : izinkan untuk melewatkan pemindai tertunda
  • Edisi 3765 : menunjukkan hitungan peringatan dalam proses pemindaian dialog
  • Edisi 3769 : tambahkan periksa untuk memperbarui tombol toolbar
  • Edisi 3770 : hapus dockerfiles
  • Edisi 3782 : tambahkan msg dan hitungan peringatan untuk mengaktivkan ulasan pemindaian AVI
  • Edisi 3787 : tambahkan pemindaian pasif waktu habis
  • Edisi 3793 : izinkan untuk menyaring pilihan panel keyboard
  • Edisi 3808 : menambahkan gambar kosong docker file
  • Edisi 3810 : tambahkan JSON dukungan keluar untuk Zap-pemindaian-penuh.py
  • Edisi 3818 : ubah klik-kanan "kirim kembali..." ke "kirim untuk permintaan pengubah manual"
  • Edisi 3836 : izinkan IPv6 alamat loopback untuk mengakses API secara default
  • Edisi 3837 : tambahkan anoncsrf sebagai anticsrf nama token
  • Edisi 3851: Konsistensi UI Scan Proyeksi Baru
  • Edisi 3871: Default untuk memeriksa pembaruan saat memulai
  • Edisi 3878: Dukung koneksi yang gigih di API
  • Edisi 3910 : Biarkan melewati pemindai melalui API
  • Masalah 3918 : file docker yang diperbaiki
  • Issue 3922 : Akses target refactor dalam skrip doktor
  • Issue 3931 : Minor Enhancement to Very large response body message
  • Masalah 3977 : Sertakan pesan laba-laba saat membandingkan sesi
  • Edisi 3983 : Izinkan ZAP mendengarkan beberapa alamat/port
  • Masalah 3992 : Memungkinkan untuk mengaktifkan kode yang melipat dalam tampilan teks tubuh
  • Masalah 3993 : kotak centang yang ditambahkan aman untuk dialog opsi panggil balik.
  • Edisi 4001 : Izinkan untuk menghapus Konteks dengan pintasan keyboard
  • Edisi 4049 : Izinkan untuk menghapus lansiran dengan pintasan keyboard
  • Edisi 4053 : pembatalan baris AlertViewPanel
  • Edisi 4055 : Layar splash baru
  • Edisi 4061 : Update implementasi mesin NTLM
  • Edisi 4063 : validasi bahwa -cmd dan -daemon tidak diatur
  • Edisi 4066 : Perbaiki pesan kesalahan di script API

Perbaikan bug:

  • Edisi 765: Tombol Ctrl-F tidak bekerja pada kirim kembali / Manual permintaan Editor dialog
  • Edisi 1222 : Positif palsu: XSS pemindaian
  • Terbitan tahun 1984 : Tanda API selalu harus kembali 'bukti' (dan semua tombol lainnya)
  • Edisi 2375 : Mampu mengubah Mode tanpa alat utama bar
  • Edisi 2496 : ZAP hanya laporan peringatan pertama dalam array
  • Edisi 2744 : Tidak dapat mengaktifkan/menonaktifkan mode pengguna dipaksa tanpa alat utama bar
  • Edisi 2756 : Kelas pemuatan kebuntuan ketika loading httpsender script dari API panggilan dan Anda
  • Edisi 2989 : Riwayat Redirect tidak direkam ketika mengirim permintaan
  • Isu 3154 : Eksekusi perintah untuk plugin yang ditampilkan di Scan kemajuan rincian, kemajuan Tab
  • Edisi 3207 : Tab Sejarah dihapus ketika sesi berlangsung
  • Masalah 3284 : Menerima garis bawah di hostname
  • Edisi 3289 : Proxy dikecualikan URL masih diproses oleh ZAP
  • Edisi 3350 : perbandingan salah HTTP pesan dalam metode queryEquals() kelas HttpMessage
  • Edisi 3351 : url hilang ketika saya klik
  • Edisi 3353 : ZAP API Lihat: contextList metode mengembalikan sebuah string bukan JSON daftar
  • Edisi 3359 : Hilang bantuan rincian pilihan sambungan layar
  • Masalah 3363 : Tampilan pesan Spider mencakup kolom kurang dimanfaatkan Tag
  • Masalah 3377 : ZAP tidak lagi dapat memuat script bebas UTF8
  • Edisi 3382 : Memperbaiki "kesalahan internal" di ScriptAPI
  • Edisi 3394 : Opsi Aktifkan sesi pelacakan (Cookie) tidak bertahan
  • Edisi 3397 : Tidak menghapus file jika tidak ada lagi
  • Edisi 3411 : Clear Cache certs ketika menetapkan cert akar CA
  • Edisi 3440 : Log pengecualian ketika file konfigurasi yang disediakan tidak bisa diuraikan
  • Edisi 3456 : Bug: berhenti scan menyeka keluar ketika bertahan sesi
  • Edisi 3459 : Peningkatan: Prescan Output adalah membingungkan. Silahkan memperjelas.
  • Edisi 3490 : Miskin font render di linux
  • Edisi 3531 : Docker script mungkin terjebak pada "Catatan untuk pasif scan" tampaknya tanpa batas
  • Edisi 3555 : Mengubah nama sesi, tidak memperbarui nama jendela
  • Masalah 3571 : Memerlukan ekstensi dependensi selama ekstensi loading
  • Edisi 3590 : Set status instalasi ke pasar Pengaya
  • Masalah 3591 : Benar memeriksa pembaruan add-on pada dep calc
  • Edisi 3620 : Pengembalian memperbaiki kesalahan hilang auth parameter
  • Masalah 3621 : Sync HistoryReference cache dalam ExtensionHistory
  • Edisi 3632 : Tidak menutup sesi ketika mengubah sifat
  • Edisi 3633 : "menghasilkan Anti-CSRF tes bentuk" tidak bekerja
  • Masalah 3648 : Keadaan benar adv pilihan dalam dialog laba-laba
  • Masalah 3667 : Markdown laporan judul format masalah
  • Masalah 3673 : API: sendHarRequest menghasilkan kesalahan jika pengalihan benar
  • Edisi 3675 : Situs pohon pilihan Tampilkan hanya URL dalam lingkup tidak bekerja
  • Masalah 3692 : zap-api-scan.py benar jalan penanganan
  • Masalah 3696 : Benar API respon untuk keluar proxy perubahan
  • Masalah 3703 : org.parosproxy.paros.db.DatabaseException: jawa.sql.SQLException: tidak Dapat mengeluarkan executeUpdate() atau executeLargeUpdate() untuk Memilih
  • Masalah 3711 : Sesi foto mungkin "break" menjalankan scan
  • Edisi 3723 : Benar ulang Database pilihan panel
  • Masalah 3748 : Secara otomatis melewatkan tergantung scanner
  • Masalah 3759 : Update versi cek dalam zap.sh script untuk Jawa 9
  • Masalah 3771 : Add-on file tidak diperbarui ketika menjalankan versi ZAP inti
  • Edisi 3779 : Tidak dapat membuka jendela kirim kembali karena hilang font
  • Isu 3799 : Menyatakan EkstensiDynSSL sebagai penunjang mem rendah
  • Isu 3825 : Menunjukkan kesalahan jika gagal untuk sertifikat aktif
  • Edisi 3827 : nilai NULL mysql di mana dalam ayat
  • Masalah 3832 : Kesalahan dalam template Vector masukan
  • Edisi 3849 : Pscanrule konten jenis hilang tidak bekerja dengan Spider pesan
  • Masalah 3854 : Kesalahan sementara menggunakan Api - kesalahan ExtensionUserManagement - mampu bertahan pengguna
  • Masalah 3889 : Initialise sumber waspada selalu
  • Masalah 3895 : JSON Input vektor gagal jika string telah dikutip karakter
  • Masalah 3907 : Menormalisasi berbasis form login URL validasi/penggunaan
  • Edisi 3912 : VariantDirectWebRemotingQuery mungkin bertahan dalam loop tak terbatas
  • Masalah 3914 : ZapVersions.xml menggunakan file dalam Docker gambar
  • Masalah 3927 : zap-penuh-scan pada docker berusaha menjangkau jaringan eksternal
  • Masalah 3955 : Database sangat kecil untuk menangani permintaan masuk tubuh besar
  • Edisi 3965 : Cookie kosong header menyebabkan kesalahan
  • Masalah 3969 : Masuk/keluar indikator tidak bertahan ketika dibersihkan
  • Masalah 4004 : zap.bat harus menggunakan %USERPROFILE% bukan %DAPAT%%HOMEPATH%
  • Isu 4013 : Mengirimkan kepada Titik akhir untuk Panggilan balik sementara proxy melalui ZAP log sebuah kesalahan
  • Edisi 4014 : Masalah ketika mencoba untuk mengabaikan semua aturan untuk URL
  • Edisi 4028 : Memperingatkan ketika memeriksa pembaruan gagal
  • Edisi 4056 : Menggunakan alam sebagai domain untuk NTLM otentikasi
  • Masalah 4065 : Menghapus orangtua URL dalam tab Sejarah harus tidak menghapus semua anak URL

ZAP API melanggar perubahan:

TINDAKAN otentikasi / setAuthenticationMethod

Jenis otentikasi "formBasedAuthentication" sekarang akan memerlukan login URL selalu dalam formulir yang dikode. Pergantian itu memastikan URL untuk masuk digunakan/dikirim seperti yang telas ditetapkan. Sebelum itu akan menyetujui sebagian URLs yang dikodekan tapi mereka akan kembali dikodekan-ulang pada saat dipakai, kemungkinan mengarah kepada sebuah URL berbeda yang sedang dipakai/dikirim.

MELIHAT konteks / contextList

Perubahan ini akan menghancurkan konsumen yang ada secara manual parsing/mengekstrak nama dari string. Struktur data kembali berubah dengan benar memisahkan setiap nama:

{"contextList":["Konteks 1","Konteks 2"]}

dan:

<contextList type="list">
    <contextName>Context 1</contextName>
    <contextName>Context 2</contextName>
</contextList>

bukannya:

{"contextList":"[Konteks 1, Konteks 2]"}

dan:

<contextList>[Context 1, Context 2]</contextList>

MELIHAT inti / setOptionUseProxyChain

Berubah untuk kembali gagal jika proxy pergi keluar itu tidak dibolehkan (karena alamat/namahost yang diinginkan tidak ditetapkan sebelumnya), sebelum itu akan kembali selalu ok.

ZAP API Mengubah Titik Akhir:

MELIHAT inti / alert

Menambahkan parameter resiko opsional untuk mempermudah penyaringan resikonya. Dimana resiko berada pada kisaran 0 untuk Informasi dan 3 untuk Tinggi.

MELIHAT inti / numberOfAlerts

Menambahkan parameter resiko opsional untuk mempermudah penyaringan resikonya. Dimana resiko berada pada kisaran 0 untuk Informasi dan 3 untuk Tinggi.

MELIHAT inti / url

Ditambahkan opsional baseurl parameter, untuk menyaring URLs bahwa akan dikembalikan.

LIHAT ascan / scan

Perubahan juga untuk mengembalikan jumlah total dari tanda peringatan ditinggikan dan pesan yang terkirim selama tiap-tiap pemindaian.

LIHAT ascan / scanProgress

Perubahan juga untuk mengembalikan jumlahnya dari tanda peringatan ditinggikan oleh tiap-tiap pemindaian.

ZAP API Endpoint Baru:

MELIHAT inti / alertsSummary

Sebuah tampilan rangkuman terbaru untuk Peringatan yang memperlihatkan jumlah perhitungan dari Peringatan tiap tingkat Risiko. Secara opsional, disaring oleh sebuah nilai dasarurl.

{"Tinggi":0,"Rendah":132,"Medium":39,"Informasi":153}

MELIHAT inti / messagesById

Mendapat HTTP pesan dengan diberikan Id.

MELIHAT inti / messagesHarById

Memperoleh pesan HTTP dengan ID yang diberikan, pada format HAR.

MELIHAT inti / optionAlertOverridesFilePath

Memperoleh jalurnya untuk file dengan mengesampingkan peringatan.

MELIHAT inti / optionMaximumAlertInstances

Memperoleh jumlah maksimum dari contoh peringatan untuk dimasukkan dalam sebuah laporan.

MELIHAT inti / optionMergeRelatedAlerts

Memperoleh apakah atau tidak peringatan terkait akan menjadi tergabung dalam laporan apapun yang dihasilkan.

MELIHAT inti / zapHomePath

Mendapat jalan untuk ZAP direktori home.

LIHAT localProxies / additionalProxies

Memperoleh semuanya dari proxy tambahan yang telah dikonfigurasi.

MELIHAT laba-laba / optionAcceptCookies

Memperoleh apakah atau tidak sebuah proses laba-laba seharusnya menyetujui cookies sedangkan spidering.

AKSI core / deleteAlert

Menghapus peringatan dengan ID yang disetujui.

AKSI core / setOptionAlertOverridesFilePath

Mengatur (atau menghilangkan, jika kosong) jalurnya kepada file dengan mengesampingkan peringatan.

AKSI core / setOptionMaximumAlertInstances

Mengatur jumlah maksimumnya dari contoh peringatan untuk dimasukkan dalam sebuah laporan. Sebuah nilai dari nol ini diperlakukan sebagai tidak terbatas.

AKSI core / setOptionMergeRelatedAlerts

Mengatur apakah atau tidak peringatan terkait akan menjadi tergabung dalam laporan apapun yang dihasilkan.

AKSI ascan / importScanPolicy

Mengimpor sebuah Kebijakan Pemindai menggunakan jalur sistem file yang disetujui.

AKSI ascan / skipScanner

Melewati pemindaian menggunakan IDs dari pemindai dan pemindaian.

LIHAT localProxies / addAdditionalProxy

Menambahkan sebuah proxy terbaru menggunakan keterangan yang disediakan. Lihat itu Layar pilihan proxy lokal untuk rincian parameter.

LIHAT localProxies / removeAdditionalProxy

Menghapus proxy extra tambahan dengan alamat dan port yang sudah ditetapkan.

AKSI spider / setOptionAcceptCookies

Mengatur apakah atau tidak sebuah proses laba-laba seharusnya menyetujui cookies sedangkan spidering.

Kerentanan Detail

Kerentanan berikut ini sudah dilaporkan pada sebuah versi sebelumnya dari ZAP. Terima kasih banyak untuk semuanya dari para peneliti yang sudah melaporkan secara etis masalah kepada kami melalui kami bug bounty program. Jika anda membutuhkan keterangan lebih lanjut tentang kerentanan ini untuk itu silakan hubungi kami.

Jendela Tidak terinstal sangat Rentan untuk Pembajakan DLL

ZAP Window Tidak terinstal untuk 2.6.0 ini sangat rentan untuk pembajakan DLL pada Window. Ini adalah sebuah yang sangat rentan pada Penginstalan Install4j pihak ketiga yang sekarang telah diperbaiki. Sebagai catatan bahwa ini hanya bisa berlaku jika sebuah DLL jahat sudah berada di jalurnya.

Kredit: Sajeeb Lohani (sml555) Antipeluru ZDS

Lihat juga

     Lihat juga pengantar ZAP
     Rilis set lengkap rilis
     Kredit orang-orang dan kelompok-kelompok yang telah membuat rilis ini mungkin
Clone this wiki locally