Skip to content

2.3.カスタム機能

Jump to bottom
gdgd009xcd edited this page Jan 15, 2024 · 72 revisions

2.3.カスタム機能

2.3.1. 正規表現で引継ぎパラメータを抽出

[追跡]ボタンで自動的に抽出できない引継ぎ値は、[custom]ボタンで正規表現で引継ぎ値の抽出が可能です。

  1. マクロリクエスト一覧から、引継ぎ元リクエスト、引継ぎ先リクエストを選択し、[custom]ボタンを押す。 selectrequest

  2. Custom Parameter Config画面が表示される。[新規]ボタンを押す。 custom parameter config

  3. Parameter Edit画面が表示される。[追跡]タブをクリックし、[追加]ボタンを押す。 parameter add new

  4. レスポンス選択画面が表示される。パラメータの抽出元URLが選択されている。変更なければ [OK]ボタンを押す。
    Select response

  5. レスポンスから追跡値抽出画面が表示される。自動抽出したパラメータの一覧が表示される。 (1)一覧に、抽出するパラメータが表示された場合は、選択し(2)[次へ]ボタンを押し、8.へ。
    (3)一覧に、抽出パラメータが無い場合は、[正規表現指定]ボタンを押す。6.へ。
    extract from

  6. 正規表現指定抽出画面が表示される。
    1) 抽出パラメータ値をマウスで選択し、[1)値選択]ボタンを押す。
           抽出パラメータの正規表現が生成・表示される。
    2)生成された正規表現をテストするには、[2)正規表現テスト]ボタンを押す。7.へ。
    3)正規表現に問題なければ、[3)次へ] ボタンを押す。8.へ。
    response tracker

  7. 正規表現テスト画面が表示される。正規表現を必要に応じて適宜修正し、[テスト]ボタンを押す。
    正規表現グループが、抽出パラメータに一致することを確認する。 テストが終了したら[保存]ボタンを押す。正規表現指定抽出画面の[3)次へ]ボタンを押す。8.へ。
    regextest

  8. 抽出パラメータ値の指定先リクエストの選択画面が表示される。選択に問題なければ[OK]ボタンを押す。
    select request

  9. parameter選択画面が表示される。抽出パラメータ値の設定先のパラメータを選択し、[OK]ボタンを押す。
    parameter setto

  10. Parameter Edit画面に設定値のエントリーが追加される。抽出パラメータ値の設定先のリクエストパラメータの正規表現を確認する。
    "置換正規表現"カラムを選択し、[正規表現テスト]ボタンを押す。
    parameter edit regexchk

  11. 正規表現テスト画面が表示される。[テスト]ボタンを押す。
    正規表現グループが、設定先パラメータ値に一致することを確認する。必要があれば修正する。
    テストが終了したら[保存]ボタンを押す。
    request regexchk

  12. Parameter Edit画面の[保存]ボタンを押す。
    Custom Parameter Config画面の[閉じる]ボタンを押す。

2.3.2. パラメータに数値を昇順で埋め込む

メールアドレス、電話番号など同一人チェックをおこなっているウェブアプリのパラメータに数値を昇順に埋め込むことで、 実行の度に異なる値をパラメータに設定し、scanner/intruderでテストが可能になります。

  1. マクロリクエスト一覧から、数値の埋め込み先のリクエストを選択し、[custom]ボタンを押す。 selectrequest

  2. Custom Parameter Config画面が表示される。[新規]ボタンを押す。 custom parameter config

  3. Parameter Edit画面が表示される。[数値]タブをクリックし、[追加]ボタンを押す。 parameter add new

  4. Parameter選択画面が表示される。数値の設定先パラメータを選択し、[追加]ボタンを押す。
    parameter select numberadd

  5. Parameter Edit画面に設定値のエントリーが追加される。数値設定先パラメータの正規表現を確認するため、"置換パターン"カラムを選択し、 [正規表現テスト]ボタンを押す。
    parameter number regexchk

  6. 正規表現テスト画面が表示される。正規表現を必要に応じて適宜修正し、[テスト]ボタンを押す。
    正規表現グループが、抽出パラメータに一致することを確認する。 テストが終了したら[保存]ボタンを押す。 regextest

  7. Parameter Edit画面の[保存]ボタンを押す。
    Custom Parameter Config画面の[閉じる]ボタンを押す。

2.3.3. CSVファイルのレコードを昇順に読み取り、カラム値をパラメータに設定。

懸賞応募機能の当選コードなどの発行済みの値をCSVファイルに格納し、CSVファイルをレコード昇順に読み出し 実行の度に有効な当選コードをパラメータに設定することが可能になります。

  1. マクロリクエスト一覧から、CSVファイル値の埋め込み先のリクエストを選択し、[custom]ボタンを押す。 selectrequest

  2. Custom Parameter Config画面が表示される。[新規]ボタンを押す。 custom parameter config

  3. Parameter Edit画面が表示される。
    1)[CSV]タブをクリックし、
    2)[CSVファイル]ボタンを押し、
    3)CSVファイルを開く。
    4)[追加]ボタンを押す。
    parameter add new

  4. CSVカラム選択画面が表示される。一覧から設定するカラムの値を選択し、[選択]ボタンを押す
    select csv collumn

  5. Parameter選択画面が表示される。カラム値設定先パラメータを選択し、[追加]ボタンを押す。
    parameter select numberadd

  6. Parameter Edit画面に設定値のエントリーが追加される。カラム値設定先パラメータの正規表現を確認するため、"置換パターン"カラムを選択し、 [正規表現テスト]ボタンを押す。
    parameter number regexchk

  7. 正規表現テスト画面が表示される。[テスト]ボタンを押す。
    正規表現グループが、抽出パラメータに一致することを確認する。正規表現を必要に応じて適宜修正し、 テストが終了したら[保存]ボタンを押す。 regextest

  8. Parameter Edit画面の[保存]ボタンを押す。
    Custom Parameter Config画面の[閉じる]ボタンを押す。

English manuals

1.2.Basic Usage

1.2.1. User Interface

1.3.Custom Function

1.3.1.Parameter extract with regex

1.3.2.Incremental numeric parameter setting

1.3.3.CSV column parameter setting

1.5 Conditional Parameter

1.6. ZAPROXY Context Support

1.7. Simultaneous multipre sequence scanning

1.8. Encoded Parameter Injector

Japanese manuals

2.1.セットアップ

2.2.基本的な使い方

2.3.カスタム機能

2.3.1. 引継パラメータの正規表現抽出

2.3.2. 数値昇順値パラメータ設定

2.3.3. CSVカラム値パラメータ設定

2.4.baseline/replaceモード

2.5. Conditional Parameter:指定した条件でパラメータ変更(ValidCondRegex)

2.6. ZAPROXY Context support

2.7. 複数httpリクエストシーケンス同時スキャン機能

Clone this wiki locally