Authentication ZAP中的NTLM身份验证
我正在尝试使用ZAP对RESTAPI进行渗透测试。Api使用windows身份验证[domain\username],并在本地托管在特定端口上。 首先,我使用postman做了一个测试,尝试连接并发出一个示例请求。我的配置如下所示: 我决定在OWASP zap中复制此设置。我设置了我的用户: 然后,我在会话属性中设置身份验证选项: 和会话管理选项: 当我尝试在ZAP中执行活动扫描时,会收到未经授权和错误的请求响应。我尝试了不同的用户名和端口,但似乎我的配置中缺少了一些小部件。我在他们的github页面上看到一个链接: 但这并没有解决我的问题 我应该如何设置ZAP以使用NTLM身份验证?我很惊讶我能在5分钟内在《邮递员》中设置这个,但在《ZAP》中我已经花了两天时间,仍然一无所获 哦,更不用说在C代码中,使用通过httpclienthandler类注入httpclient的默认凭据也需要10分钟的工作时间:Authentication ZAP中的NTLM身份验证,authentication,ntlm,owasp,zap,Authentication,Ntlm,Owasp,Zap,我正在尝试使用ZAP对RESTAPI进行渗透测试。Api使用windows身份验证[domain\username],并在本地托管在特定端口上。 首先,我使用postman做了一个测试,尝试连接并发出一个示例请求。我的配置如下所示: 我决定在OWASP zap中复制此设置。我设置了我的用户: 然后,我在会话属性中设置身份验证选项: 和会话管理选项: 当我尝试在ZAP中执行活动扫描时,会收到未经授权和错误的请求响应。我尝试了不同的用户名和端口,但似乎我的配置中缺少了一些小部件。我在他们的g
ICredentials credentials = CredentialCache.DefaultCredentials;
var clientHandler = new HttpClientHandler()
{
Credentials = credentials
};
var client = new HttpClient(clientHandler);
var resp = client.GetAsync(new Uri(apiUrl)).Result;
谢谢你也遇到了同样的问题,谢天谢地,经过4天的努力,仅仅为了找到一个小环境,问题就解决了 只需确保启用:强制用户模式 不知道为什么我需要选择此选项,即使我在身份验证中只选择了一个启用了此选项的用户。但这也是有道理的,但它应该作为身份验证弹出窗口中的信息提到,以帮助像我这样的初学者
我浏览了您提供的GitHub问题,看到了在上下文中包含目标url的建议。你是在ZAP做的吗?我在你的帖子里看不到这一点。是的,我也试过了。你解决了这个问题吗?我面临的正是这个问题。和你到了同一个地方。你在端口80上对本地主机做NTLM?不是不可能,只是想确定这就是你真正的意思。您的上下文定义是否包括服务器上或特定路径中的所有内容(例如:regex ending.*)@kingthrin那么应该使用什么端口?我的意思是-它应该是IIS运行的端口,还是被测试的应用程序侦听的端口?或者可能有任何关于ZAP这个特性的好文档,例如?