0

我使用 ZAP 已经有一段时间了,我熟悉它的基本功能。

目前我面临以下问题:我有一个 Web 应用程序,其中登录页面(POST 请求)生成带有 EMPTY 内容的 302 响应,这意味着我无法确定应该将哪个字符串/正则表达式传递给 ZAP 作为登录或注销指示器。

我尝试使用正则表达式从登录页面或主页(一旦用户登录)登录/注销指示器,但这会带来问题。

1-ZAP 检测到用户未登录(因为说登录指示符字符串不存在) 2-ZAP 自动发送我标记为基于表单的身份验证的 POST 请求 3-POST 请求返回 HTTP 302一个空的正文 4-由于 ZAP 在 HTTP 302 正文中找不到登录和注销指示器,我返回到登录页面,因此自动登录不起作用。

在这种情况下我应该怎么做?正如我所提到的,我已经在几秒钟内成功地将 ZAP 自动登录用于其他项目/应用程序,但是这个带有空响应正文的 HTTP 302 造成了问题。

建议?

4

1 回答 1

2

您可能需要使用脚本。自动跟随重定向的身份验证脚本或 http_sender 脚本。在 ZAP 用户组上更详细地讨论这一点可能会更容易:http ://groups.google.com/group/zaproxy-users

干杯,

西蒙(ZAP 项目负责人)

于 2016-01-27T11:09:14.420 回答