我有这个 curl 来调用一个 api:
curl -X POST -u user:password /to/the/end/point
如果我用 zapproxy 收到请求,我可以发送这个并进行主动攻击,但我正在尝试这个调用 python api。我无法使用基本授权(base64 或用户:密码)进行身份验证。我正在尝试使用 gui 和导出创建上下文并将其与 zap-api-scan.py 一起使用,但它不起作用。
我已经阅读了这些帖子:
https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html
但我还没有找到解决方案。
请问你能帮我吗?
谢谢。
我有这个但不工作,不要导入上下文:
#!/usr/bin/env python
from zapv2 import ZAPv2
target = 'https://target/to/api'
zap = ZAPv2(proxies={'http': 'http://127.0.0.1:8888', 'https': 'http://127.0.0.1:8888'})
zap.context.import_context("/file/context")
print 'Accessing target %s' % target
zap.urlopen(target)
time.sleep(2)
print 'Spidering target %s' % target
scanid = zap.spider.scan(target)
time.sleep(2)
print 'Spider completed'
time.sleep(5)
print 'Scanning target %s' % target
scanid = zap.ascan.scan(target)
print 'Scan completed'