我有一个托管在 IIS 上的本地网站,我正在尝试使用在守护进程模式下执行的 ZAP 工具扫描我的应用程序。一切正常,直到我从 IIS 禁用“匿名身份验证”方法并且启用的唯一方法是“基本身份验证”。我得到的错误是“无法攻击 URL:收到 401 响应代码”。
是否有可能从守护程序模式发送登录凭据?
命令如下所示:zap.bat -quickurl "urlToTest" -quickprogress -daemon -cmd。
问问题
3884 次
1 回答
0
-cmd 选项将 ZAP 置于命令行/内联模式。使用 -daemon 模式将 ZAP 置于守护模式,此时您需要使用 ZAP API 与之交互。要处理身份验证,您必须将应用程序添加到上下文,然后指定身份验证。我们有基于表单的身份验证的常见问题解答:https ://github.com/zaproxy/zaproxy/wiki/FAQformauth您需要做类似的事情,但指定“HTTP/NTLM 身份验证”:https ://github.com/zaproxy /zap-core-help/wiki/HelpStartConceptsAuthentication 我建议首先使用 ZAP UI 进行测试 - 然后您也可以导出到 Context 以在守护程序模式下重用。如有任何问题,最好前往 ZAP 用户组:http ://groups.google.com/group/zaproxy-users
西蒙(ZAP 项目负责人)
于 2016-04-27T10:47:25.133 回答