1

我需要通过 OWASP ZAP 工具(获得 2.5.0 版本)攻击端点。我通过 Postman 测试了端点。我已经获得授权类型:基本身份验证,用户名:exampleUserName,密码:examplePass。

请您给我任何提示,如何在 OWASP ZAP 中设置基本身份验证?

我为我的上下文设置了用户。需要什么esle?

找到解决方案:

1) 控制面板 -> Internet 选项 -> 连接 -> LAN 设置 -> 勾选“使用代理等”。-> 点击确定

2) 通过 Postman 发送请求,使用 Basic Auth

3) 端点在 OWASP ZAP 工具中可见,在站点部分

4)右键单击端点,选择Atack action

4

1 回答 1

2

我们有一个常见问题解答 :) ZAP 如何通过表单自动进行身份验证?

复制到这里供参考:

通过用户界面:

  1. 通过 ZAP 代理时探索您的应用
  2. 使用有效的用户名和密码登录
  3. 定义一个上下文,例如通过在站点选项卡中右键单击应用程序的顶部节点并选择“包含在上下文中”
  4. 在“站点”或“历史记录”选项卡中找到“登录请求”
  5. 右键单击它并选择“标记为上下文”/“基于表单的身份验证登录请求”
  6. 检查用户名和密码参数是否设置正确——几乎肯定不会!
  7. 在响应中查找可用于确定用户是否登录的字符串
  8. 突出显示此字符串,右键单击并选择“标记为上下文”/“登录/退出指示器”作为相关 - 您只需要设置其中一个,而不是两者
  9. 双击相关的上下文节点并导航到“用户”页面 - 检查用户详细信息是否正确,添加您要使用的任何其他用户并全部启用
  10. 导航到上下文“强制用户”页面并确保选择了您要测试的用户
  11. 现在应该启用“强制用户模式禁用 - 单击以启用”按钮
  12. 按下此按钮将导致 ZAP 在检测到用户不再登录时重新发送身份验证请求,即使用“登录”或“注销”指示器。

如果“强制用户模式已禁用 - 单击以启用”按钮未启用,则您没有为 ZAP 配置足够的信息进行身份验证 - 请仔细检查您是否已执行上述所有步骤。

如果您启用了“强制用户模式”并且在访问应用程序时仍未登录,请查看“历史记录”选项卡中的请求:

  • 如果没有登录请求,那么您可能没有选择
    合适的“登录/注销”指示器,请尝试更改它并重试
  • 如果有登录请求,请查看请求和响应,看看您是否可以找出登录失败的原因 - 您可能需要更改请求甚至发出多个请求

如果您需要发出多个登录请求,那么最好的选择是记录一个 Zest 身份验证脚本并首先测试这个隔离。

FAQ 还详细介绍了如何通过 ZAP API 设置身份验证。

于 2017-02-13T11:55:15.593 回答