Zapproxy API中的基本授权

我有这个curl来调用api：

curl -X POST -u user:password /to/the/end/point

如果我用zapproxy收到请求，我可以发送它并进行主动攻击，但我正在尝试调用python api。我无法使用基本授权（base64或用户：密码）进行身份验证。我正在尝试用gui创建一个上下文，并将其导出并与zap-api-scan.py一起使用，但它不起作用

我已经读过这些帖子：

但我还没有找到解决办法

你能帮我吗

---

谢谢。

我有这个，但不起作用，不要导入上下文：

#!/usr/bin/env python

from zapv2 import ZAPv2


target = 'https://target/to/api'

zap = ZAPv2(proxies={'http': 'http://127.0.0.1:8888', 'https': 'http://127.0.0.1:8888'})

zap.context.import_context("/file/context")

print 'Accessing target %s' % target
zap.urlopen(target)
time.sleep(2)

print 'Spidering target %s' % target
scanid = zap.spider.scan(target)

time.sleep(2)

print 'Spider completed'

time.sleep(5)

print 'Scanning target %s' % target
scanid = zap.ascan.scan(target)

print 'Scan completed'

---

您已经在GUI中设置好了吗？我刚刚将basic auth与xampp组合在一起，如下所示：然后在ZAP上下文中配置“HTTP/NTLM身份验证”，并在上下文的“用户”面板下创建了一个用户。。。。工作正常：蜘蛛，主动扫描，不管什么。。。还请注意，当ZAP运行时，您可以通过浏览器访问API，以确定您可能需要进行哪些调用以及它们采用了哪些参数。是的，我已经尝试过，但我认为我没有很好地选择正确的选项。在身份验证中，我选择了HTTP/NTLM身份验证，但我不知道在字段中放置什么。定义您的上下文（通过设置include In context regex）。在“身份验证”面板中选择“HTTP/NTLM身份验证”，输入主机名和端口（对于需要身份验证的主机…localhost 80或www.example.org 443或其他）。转到“用户”面板并创建一个用户（随意命名，输入用于基本身份验证的用户名和密码）。确定！！我有一个可以在gui中工作的上下文，但是当我在docker中导出它并与zap-api-scan.py一起使用时，它不工作：./zap-api-scan.py-t-f openapi-n/file/contextYou能比“不工作”更具体吗？有错误吗？它不能进口吗？EtcAlso您似乎正在启动爬行器并在不检查状态或等待完成的情况下进行扫描？您启动docker容器的方式是否可以访问/file/context？您有什么进展吗？