質問編集履歴
12
誤字修正
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -127,8 +127,7 @@
|
|
|
127
127
|
- Java(TM) SE Development Kit 19.0.1 (64-bit)
|
|
128
128
|
|
|
129
129
|
### 蛇足メモ
|
|
130
|
-
手動リクエストにおける、自動ログインの設定に成功した。
|
|
130
|
+
手動リクエストにおける、自動ログインの設定に成功しました。
|
|
131
131
|
・Use Global HTTP State をオンにする
|
|
132
|
-
・firefox→OWSP ZAP→burp proxy→目的サイト
|
|
133
|
-
|
|
132
|
+
・「firefox→OWSP ZAP→burp proxy→目的サイト」というようにlocal proxyを二重にすると、認証の詳細をburpで確認できました
|
|
134
|
-
・今回トグルボタンは、錠前オン、地球オン、キ
|
|
133
|
+
・今回トグルボタンは、錠前オン、地球オン、クッキーオン、リダイレクトオフ
|
11
蛇足
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -5,7 +5,7 @@
|
|
|
5
5
|
|
|
6
6
|
文字化けするレスポンスに「Content-Encoding: br」が付加されていました。
|
|
7
7
|
リクエストを再送信する前に「Accept-Encoding:br」を解除することで、文字化けを回避できました。
|
|
8
|
-
これが標準的な解決方法か疑問があるので、
|
|
8
|
+
これが標準的な解決方法か疑問があるので、しばらく、回答待ちとさせてください。
|
|
9
9
|
|
|
10
10
|
### 実現したいこと
|
|
11
11
|
|
|
@@ -126,3 +126,9 @@
|
|
|
126
126
|
- Windows10
|
|
127
127
|
- Java(TM) SE Development Kit 19.0.1 (64-bit)
|
|
128
128
|
|
|
129
|
+
### 蛇足メモ
|
|
130
|
+
手動リクエストにおける、自動ログインの設定に成功した。
|
|
131
|
+
・Use Global HTTP State をオンにする
|
|
132
|
+
・firefox→OWSP ZAP→burp proxy→目的サイト
|
|
133
|
+
というようにlocal proxyを二重にすると、認証の詳細をburpで確認できた
|
|
134
|
+
・今回トグルボタンは、錠前オン、地球オン、キックーオン、リダイレクトオフ
|
10
「訂正」の整理
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -3,9 +3,9 @@
|
|
|
3
3
|
当初「日本語文字化け」として投稿しましたが、調査の結果、
|
|
4
4
|
「英半角20文字以上文字化け」であったことがわかり、訂正します。
|
|
5
5
|
|
|
6
|
-
|
|
6
|
+
文字化けするレスポンスに「Content-Encoding: br」が付加されていました。
|
|
7
|
-
|
|
8
|
-
リクエストを再送信する前に
|
|
7
|
+
リクエストを再送信する前に「Accept-Encoding:br」を解除することで、文字化けを回避できました。
|
|
8
|
+
これが標準的な解決方法か疑問があるので、引き続き、回答待ちとさせてください。
|
|
9
9
|
|
|
10
10
|
### 実現したいこと
|
|
11
11
|
|
|
@@ -119,7 +119,7 @@
|
|
|
119
119
|
before) Accept-Encoding: gzip, deflate, br
|
|
120
120
|
after) Accept-Encoding: gzip, deflate
|
|
121
121
|
|
|
122
|
-
※毎回送信時に解除するのが適切か?、firefoxの設定で初めから外せないか?、OWASPが圧縮しているなら止められないか?、
|
|
122
|
+
※毎回送信時に解除するのが適切か?、firefoxの設定で初めから外せないか?、OWASPが圧縮しているなら止められないか?、適切な方法をご存じでしたら教えてください。
|
|
123
123
|
|
|
124
124
|
### 環境
|
|
125
125
|
- OWASP ZAP2.12.0
|
9
問題を回避できたことを明記
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -4,6 +4,8 @@
|
|
|
4
4
|
「英半角20文字以上文字化け」であったことがわかり、訂正します。
|
|
5
5
|
|
|
6
6
|
この文字化けは、20文字の場合、5バイト追加されることで発生しており、同時に「Content-Encoding: br」が付加されているようなので、OWASP ZAPが勝手に圧縮するため文字化けを起こしている可能性があると考え、タイトルを変更しました。
|
|
7
|
+
|
|
8
|
+
リクエストを再送信する前に、「Accept-Encoding:br」を解除すると、文字化けがなくなりました。問題を回避できましたが、これが標準的な解決方法か疑問があるので、引き続き、情報を待たせていただきます。
|
|
7
9
|
|
|
8
10
|
### 実現したいこと
|
|
9
11
|
|
8
リクエストで解除したら化けなくなった
test
CHANGED
|
@@ -1 +1 @@
|
|
|
1
|
-
OWASP ZAPが
|
|
1
|
+
OWASP ZAPが「Content-Encoding: br」で圧縮するため、レスポンスBody文字化けか?
|
test
CHANGED
|
@@ -110,6 +110,15 @@
|
|
|
110
110
|
※OWASP ZAPが、「Content-Encoding: br」という圧縮を行っているように見えます。
|
|
111
111
|
そうであれば、これをどう扱えばよいのか、止めさせる方法はあるのか。。。
|
|
112
112
|
|
|
113
|
+
### 試したこと4(リクエストで解除したら化けなくなった)
|
|
114
|
+
|
|
115
|
+
リクエストを再送信する前に、「Accept-Encoding:br」を解除すると、文字化けがなくなりました。1作業行えば、化けなくなることがわかりました。
|
|
116
|
+
|
|
117
|
+
before) Accept-Encoding: gzip, deflate, br
|
|
118
|
+
after) Accept-Encoding: gzip, deflate
|
|
119
|
+
|
|
120
|
+
※毎回送信時に解除するのが適切か?、firefoxの設定で初めから外せないか?、OWASPが圧縮しているなら止められないか?、効率的な方法をご存じでしたら教えてください。
|
|
121
|
+
|
|
113
122
|
### 環境
|
|
114
123
|
- OWASP ZAP2.12.0
|
|
115
124
|
- Windows10
|
7
「Content-Encoding: br」で圧縮するため文字化けか?とタイトルに明記
test
CHANGED
|
@@ -1 +1 @@
|
|
|
1
|
-
OWASP ZAP
|
|
1
|
+
OWASP ZAPが勝手に「Content-Encoding: br」で圧縮するため文字化けか?
|
test
CHANGED
|
@@ -2,6 +2,8 @@
|
|
|
2
2
|
|
|
3
3
|
当初「日本語文字化け」として投稿しましたが、調査の結果、
|
|
4
4
|
「英半角20文字以上文字化け」であったことがわかり、訂正します。
|
|
5
|
+
|
|
6
|
+
この文字化けは、20文字の場合、5バイト追加されることで発生しており、同時に「Content-Encoding: br」が付加されているようなので、OWASP ZAPが勝手に圧縮するため文字化けを起こしている可能性があると考え、タイトルを変更しました。
|
|
5
7
|
|
|
6
8
|
### 実現したいこと
|
|
7
9
|
|
|
@@ -105,7 +107,8 @@
|
|
|
105
107
|
>
|
|
106
108
|
>ABCDEFGHIJKLMNOPQRST
|
|
107
109
|
|
|
110
|
+
※OWASP ZAPが、「Content-Encoding: br」という圧縮を行っているように見えます。
|
|
108
|
-
|
|
111
|
+
そうであれば、これをどう扱えばよいのか、止めさせる方法はあるのか。。。
|
|
109
112
|
|
|
110
113
|
### 環境
|
|
111
114
|
- OWASP ZAP2.12.0
|
6
burpで再現しなかった
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -13,7 +13,12 @@
|
|
|
13
13
|
|
|
14
14
|
|
|
15
15
|
※オプションダイアログの後ろにある、「S□□1□I[□□DQ」などが、文字化け箇所です。
|
|
16
|
+
|
|
17
|
+
### 試したこと1(日本語のフォントの問題ではなかった様子)
|
|
18
|
+
|
|
19
|
+
「ツール」→「オプション」→「表示」→「Work Panels Font」にて、フォントを変更しても、解決しませんでした。
|
|
20
|
+
|
|
16
|
-
### 試したこと
|
|
21
|
+
### 試したこと2(英半角20文字以上で再現した)
|
|
17
22
|
|
|
18
23
|
レスポンスが、英半角20文字未満だと文字化けせず、20文字以上だと文字化けすることが、わかりました。
|
|
19
24
|
|
|
@@ -81,9 +86,26 @@
|
|
|
81
86
|
|
|
82
87
|
つまり、レスポンスを20文字にしたとき、前に4バイト、後ろに1バイト、付加されており、このために文字化けしているように見えます。この5バイトは何者で、どのように扱えばよいのか、疑問です。
|
|
83
88
|
|
|
84
|
-
### 試したこと
|
|
89
|
+
### 試したこと3(burp suiteでは再現しなかった)
|
|
85
90
|
|
|
91
|
+
>HTTP/2 200 OK
|
|
92
|
+
>Server: nginx
|
|
93
|
+
>Date: Mon, 20 Feb 2023 01:20:56 GMT
|
|
94
|
+
>Content-Type: text/plain
|
|
95
|
+
>Content-Length: 20
|
|
86
|
-
|
|
96
|
+
>Last-Modified: Fri, 17 Feb 2023 08:30:46 GMT
|
|
97
|
+
>Etag: "14-5f4e121464380"
|
|
98
|
+
>Accept-Ranges: bytes
|
|
99
|
+
>X-Frame-Options: SAMEORIGIN
|
|
100
|
+
>X-Xss-Protection: 1;mode=block
|
|
101
|
+
>X-Content-Type-Options: nosniff
|
|
102
|
+
>Strict-Transport-Security: max-age=31536000
|
|
103
|
+
>Strict-Transport-Security: max-age=15768000
|
|
104
|
+
>X-Powered-By: PleskLin
|
|
105
|
+
>
|
|
106
|
+
>ABCDEFGHIJKLMNOPQRST
|
|
107
|
+
|
|
108
|
+
※つまり、OWASP ZAP が5バイトを追加している可能性も?
|
|
87
109
|
|
|
88
110
|
### 環境
|
|
89
111
|
- OWASP ZAP2.12.0
|
5
*→●、ABC~STU→ABC~ST
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -18,15 +18,15 @@
|
|
|
18
18
|
レスポンスが、英半角20文字未満だと文字化けせず、20文字以上だと文字化けすることが、わかりました。
|
|
19
19
|
|
|
20
20
|
###### リクエスト(共通)
|
|
21
|
-
>GET https://
|
|
21
|
+
>GET https://●●●●●●●●●●.●●●●..com/abc.txt HTTP/1.1
|
|
22
|
-
>Host:
|
|
22
|
+
>Host: ●●●●●●●●●●.●●●●.com
|
|
23
23
|
>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
|
|
24
24
|
>Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
|
|
25
25
|
>Accept-Language: ja,en-US;q=0.7,en;q=0.3
|
|
26
26
|
>Accept-Encoding: gzip, deflate, br
|
|
27
|
-
>Authorization: Basic
|
|
27
|
+
>Authorization: Basic ●●●●●●●●●●●●●●●●●●●●
|
|
28
28
|
>Connection: keep-alive
|
|
29
|
-
>Cookie: CakeCookie[User][lang]=ja; CAKEPHP=
|
|
29
|
+
>Cookie: CakeCookie[User][lang]=ja; CAKEPHP=●●●●●●●●●●●●●●●●●●●●●●●●●●; checkcookie=true
|
|
30
30
|
>Upgrade-Insecure-Requests: 1
|
|
31
31
|
>Sec-Fetch-Dest: document
|
|
32
32
|
>Sec-Fetch-Mode: navigate
|
|
@@ -74,7 +74,7 @@
|
|
|
74
74
|
>Content-Length: 25
|
|
75
75
|
|
|
76
76
|
###### レスポンスBody(20文字の場合)
|
|
77
|
-
>!L □ABCDEFGHIJKLMNOPQRST
|
|
77
|
+
>!L □ABCDEFGHIJKLMNOPQRST□
|
|
78
78
|
|
|
79
79
|
|
|
80
80
|
### 疑問
|
4
>Firefox → Firefox
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -20,7 +20,7 @@
|
|
|
20
20
|
###### リクエスト(共通)
|
|
21
21
|
>GET https://**********.****..com/abc.txt HTTP/1.1
|
|
22
22
|
>Host: **********.****.com
|
|
23
|
-
>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101
|
|
23
|
+
>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
|
|
24
24
|
>Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
|
|
25
25
|
>Accept-Language: ja,en-US;q=0.7,en;q=0.3
|
|
26
26
|
>Accept-Encoding: gzip, deflate, br
|
3
疑問追加
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -77,6 +77,10 @@
|
|
|
77
77
|
>!L □ABCDEFGHIJKLMNOPQRSTU□
|
|
78
78
|
|
|
79
79
|
|
|
80
|
+
### 疑問
|
|
81
|
+
|
|
82
|
+
つまり、レスポンスを20文字にしたとき、前に4バイト、後ろに1バイト、付加されており、このために文字化けしているように見えます。この5バイトは何者で、どのように扱えばよいのか、疑問です。
|
|
83
|
+
|
|
80
84
|
### 試したこと
|
|
81
85
|
|
|
82
86
|
「ツール」→「オプション」→「表示」→「Work Panels Font」にて、フォントを変更しても、解決しませんでした。
|
2
文字化けの条件は、日本語でなく、文字数だった
test
CHANGED
|
@@ -1 +1 @@
|
|
|
1
|
-
OWASP ZAP2.12.0
|
|
1
|
+
OWASP ZAP2.12.0 レスポンスBody 英半角20文字以上文字化け
|
test
CHANGED
|
@@ -1,6 +1,11 @@
|
|
|
1
|
+
### 訂正
|
|
2
|
+
|
|
3
|
+
当初「日本語文字化け」として投稿しましたが、調査の結果、
|
|
4
|
+
「英半角20文字以上文字化け」であったことがわかり、訂正します。
|
|
5
|
+
|
|
1
6
|
### 実現したいこと
|
|
2
7
|
|
|
3
|
-
OWASP ZAP2.12.0にて、
|
|
8
|
+
OWASP ZAP2.12.0にて、レスポンスBodyが英半角20文字以上だと文字化けします。
|
|
4
9
|
この文字化けを解消する方法がわかりましたら、教えてください。
|
|
5
10
|
|
|
6
11
|
### 現在の状況
|
|
@@ -8,15 +13,73 @@
|
|
|
8
13
|
|
|
9
14
|
|
|
10
15
|
※オプションダイアログの後ろにある、「S□□1□I[□□DQ」などが、文字化け箇所です。
|
|
16
|
+
### 試したこと
|
|
17
|
+
|
|
18
|
+
レスポンスが、英半角20文字未満だと文字化けせず、20文字以上だと文字化けすることが、わかりました。
|
|
19
|
+
|
|
20
|
+
###### リクエスト(共通)
|
|
21
|
+
>GET https://**********.****..com/abc.txt HTTP/1.1
|
|
22
|
+
>Host: **********.****.com
|
|
23
|
+
>User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 >Firefox/108.0
|
|
24
|
+
>Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
|
|
25
|
+
>Accept-Language: ja,en-US;q=0.7,en;q=0.3
|
|
26
|
+
>Accept-Encoding: gzip, deflate, br
|
|
27
|
+
>Authorization: Basic ********************
|
|
28
|
+
>Connection: keep-alive
|
|
29
|
+
>Cookie: CakeCookie[User][lang]=ja; CAKEPHP=**************************; checkcookie=true
|
|
30
|
+
>Upgrade-Insecure-Requests: 1
|
|
31
|
+
>Sec-Fetch-Dest: document
|
|
32
|
+
>Sec-Fetch-Mode: navigate
|
|
33
|
+
>Sec-Fetch-Site: none
|
|
34
|
+
>Sec-Fetch-User: ?1
|
|
35
|
+
>Content-Length: 0
|
|
36
|
+
|
|
37
|
+
###### レスポンスHeader(3文字の場合)
|
|
38
|
+
>HTTP/1.1 200 OK
|
|
39
|
+
>Server: nginx
|
|
40
|
+
>Date: Fri, 17 Feb 2023 08:30:40 GMT
|
|
41
|
+
>Content-Type: text/plain
|
|
42
|
+
>Content-Length: 3
|
|
43
|
+
>Connection: keep-alive
|
|
44
|
+
>X-Accel-Version: 0.01
|
|
45
|
+
>Last-Modified: Fri, 17 Feb 2023 08:24:57 GMT
|
|
46
|
+
>ETag: "3-5f4e10c7cd05c"
|
|
47
|
+
>Accept-Ranges: bytes
|
|
48
|
+
>x-frame-options: SAMEORIGIN
|
|
49
|
+
>x-xss-protection: 1;mode=block
|
|
50
|
+
>x-content-type-options: nosniff
|
|
51
|
+
>strict-transport-security: max-age=31536000
|
|
52
|
+
>Strict-Transport-Security: max-age=15768000
|
|
53
|
+
>X-Powered-By: PleskLin
|
|
54
|
+
|
|
55
|
+
###### レスポンスBody(3文字の場合)
|
|
56
|
+
>AAA
|
|
57
|
+
|
|
58
|
+
###### レスポンスHeader(20文字の場合)
|
|
59
|
+
>HTTP/1.1 200 OK
|
|
60
|
+
>Server: nginx
|
|
61
|
+
>Date: Fri, 17 Feb 2023 08:34:00 GMT
|
|
62
|
+
>Content-Type: text/plain
|
|
63
|
+
>Connection: keep-alive
|
|
64
|
+
>X-Accel-Version: 0.01
|
|
65
|
+
>Last-Modified: Fri, 17 Feb 2023 08:30:46 GMT
|
|
66
|
+
>ETag: W/"14-5f4e121464380"
|
|
67
|
+
>x-frame-options: SAMEORIGIN
|
|
68
|
+
>x-xss-protection: 1;mode=block
|
|
69
|
+
>x-content-type-options: nosniff
|
|
70
|
+
>strict-transport-security: max-age=31536000
|
|
71
|
+
>Strict-Transport-Security: max-age=15768000
|
|
72
|
+
>X-Powered-By: PleskLin
|
|
73
|
+
>Content-Encoding: br
|
|
74
|
+
>Content-Length: 25
|
|
75
|
+
|
|
76
|
+
###### レスポンスBody(20文字の場合)
|
|
77
|
+
>!L □ABCDEFGHIJKLMNOPQRSTU□
|
|
78
|
+
|
|
11
79
|
|
|
12
80
|
### 試したこと
|
|
13
81
|
|
|
14
|
-
同様と思われる現象が解決されたQ&Aがあったので、真似てみましたが、当方は、上図のように、解決しませんでした。再起動して、フォントサイズの変更には成功したので、変更は成功していると思いますが、文字化けが解決しません。
|
|
15
|
-
|
|
16
|
-
https://twitter.com/littlebear_6w6/status/1387376922020044800
|
|
17
|
-
|
|
18
|
-
|
|
82
|
+
「ツール」→「オプション」→「表示」→「Work Panels Font」にて、フォントを変更しても、解決しませんでした。
|
|
19
|
-
(無断引用おゆるしください)
|
|
20
83
|
|
|
21
84
|
### 環境
|
|
22
85
|
- OWASP ZAP2.12.0
|
1
環境追加
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -18,3 +18,8 @@
|
|
|
18
18
|
>OWASP ZAPのメニューから「ツール」→「オプション」→「表示」とたどり、「Work Panels Font」の「フォント名」をお好みの日本語用フォント(例:メイリオ、MS ゴシック)に設定して*OWASP ZAPを再起動*すると日本語の文字化けが解消します。
|
|
19
19
|
(無断引用おゆるしください)
|
|
20
20
|
|
|
21
|
+
### 環境
|
|
22
|
+
- OWASP ZAP2.12.0
|
|
23
|
+
- Windows10
|
|
24
|
+
- Java(TM) SE Development Kit 19.0.1 (64-bit)
|
|
25
|
+
|