遵循以下步骤: 1. 记录 ZEST 脚本(测试可以工作) 2. 在上下文中包含站点 3. 添加用户 4. 选择强制用户 5. 上传脚本并选择基于脚本的身份验证 6. 定义注销指示器 7. 从蜘蛛中排除注销8. 运行 Ajax 蜘蛛选择上下文和用户
我错过了什么?
遵循以下步骤: 1. 记录 ZEST 脚本(测试可以工作) 2. 在上下文中包含站点 3. 添加用户 4. 选择强制用户 5. 上传脚本并选择基于脚本的身份验证 6. 定义注销指示器 7. 从蜘蛛中排除注销8. 运行 Ajax 蜘蛛选择上下文和用户
我错过了什么?
我意识到这是我创建 ZEST 脚本的技术的一个错误。如果我们直接开始录制,并选择身份验证脚本,它不会自动填充所有参数和登录 url 选项。脚本 --> 新脚本 --> 身份验证 --> 创建新脚本并保存 --> 现在开始录制使其工作。此外,需要编辑 --> 启用会话跟踪以帮助使其持久化。
我们在这里详细介绍了一些诊断身份验证问题的方法:https ://github.com/zaproxy/zaproxy/wiki/FAQformauth :
如果“强制用户模式已禁用 - 单击以启用”按钮未启用,则您没有为 ZAP 配置足够的信息来进行身份验证 - 请仔细检查您是否已执行上述所有步骤。
如果您启用了强制用户模式并且在访问应用程序时仍未登录,请查看“历史记录”选项卡中的请求:
如果您需要发出多个登录请求,那么最好的选择是记录一个 Zest 身份验证脚本并首先对其进行单独测试。