Authentication 在ZAP工具中添加身份验证以攻击URL

如何将身份验证详细信息传递给ZAP工具以扫描网站。请帮我解决这个问题。

很老的问题，但它来了

最简单的方法是通过ZAP将浏览器设置为代理。 在Firefox上，您可以访问：

选项->高级->网络->设置

选择Manual Proxy Configuration（手动代理配置），并用运行ZAP的机器的地址（很可能是本地主机）和配置的ZAP端口填充HTTP主机

您可以检查和配置ZAP端口打开ZAP和访问：

工具->选项->本地代理

然后打开web浏览器并登录到应用程序。 现在转到ZAP，在“站点”选项卡（ZAP的左侧）中，选择您的站点，右键单击它并选择：

包含在上下文->默认上下文中

现在打开HTTP会话选项卡，右键单击会话并“设置为活动”。 （HTTP会话选项卡：查看->显示选项卡->HTTP会话）

现在，您可以通过登录会话执行ZAP Spider、活动扫描等操作。 如果这不是您的方案，请提供有关您的应用程序正在使用的身份验证方法的更多信息

希望它仍然能帮助你或其他人寻找类似的问题。

---

谢谢，

旧问题，旧答案，但这里有一个由OWASP ZAP的核心开发人员之一编写的好教程：

快速回答：这取决于用于身份验证的方法。您可以在“身份验证”菜单中的会话属性中设置选项，也可以在“用户”菜单中定义不同的用户。

通过ZAP代理进行身份验证 ZAP支持由网站/webapps实现的多种类型的身份验证。ZAP中的身份验证方法是通过定义如何处理身份验证来实现的。身份验证用于创建与经过身份验证的webapp相对应的会话

由实现的一些身份验证方法包括：

• 手动身份验证：此方法允许用户手动执行身份验证（例如，通过ZAP代理时在浏览器中进行身份验证）
• HTTP/NTLM身份验证：此方法用于使用HTTP消息头的HTTP或NTLM身份验证机制实施身份验证的网站/Web应用程序。支持三种身份验证方案：Basic、Digest和NTLM
• 基于表单的身份验证：此方法用于网站/Web应用程序，其中身份验证通过提交表单或使用“用户名/密码”对身份验证凭据执行对“登录url”的GET请求来完成
• 基于JSON的身份验证：此方法用于通过使用“用户名/密码”对身份验证凭据向“登录url”提交JSON对象来完成身份验证的网站/Web应用程序
• 基于脚本的身份验证：此方法适用于身份验证更为复杂的网站/Web应用程序，并且一些处理身份验证过程的自定义脚本是有益的。要使用此方法，必须首先定义一个身份验证脚本，该脚本根据web应用程序的需要发送消息或执行其他操作。然后选择此脚本用于给定上下文，并在执行身份验证时调用它

---

示范 作为一个示例，我将演示HTTP/1.1根据使用url实现的基本身份验证测试

---

台阶 按照以下步骤通过ZAP实现基本身份验证：

• 打开ZAP并打开浏览器，例如Firefox，方法是单击“快速入门”选项卡中的图标，打开您在该选项卡中选择的浏览器，该浏览器已预先配置为通过ZAP代理

• 单击基本身份验证测试（上的最后三个链接），基本身份验证弹出窗口显示在该链接上
• 提供登录的凭据：
  • 用户名：guest
  • 密码：guest
• 现在，在ZAP工具的History选项卡中，找到对URL的GET请求，并观察确认基本身份验证的响应。
  • 请求的快照：

• 响应快照：

• 现在您需要创建一个上下文，将其包含在默认上下文中。因此，右键单击URL并从上下文菜单中选择IncludeinContext，然后选择DefaultContext

• 在会话管理菜单中，选择HTTP身份验证会话管理

• 在Authentication菜单中，选择HTTP/NTLM Authentication并提供主机名和端口

• 在用户菜单中，添加所需用户的凭据

• 单击OK按钮保存配置
• 最后，您需要通过从ZAP窗格启用强制用户模式，将ZAP配置为使用强制用户模式

• 双击默认上下文，选择强制用户并确保设置了所需的用户

• 现在，选择URL，右键单击，选择在浏览器中打开URL，然后选择Firefox

• 您将通过基本身份验证通过ZAP自动授权

---

我看不到

HTTP会话选项卡

View->Show Tabs->HTTP会话选项卡如何在上下文中包含默认上下文？在默认上下文中包含我的站点后，我在HTTP会话选项卡中看不到任何条目。可能是什么问题？我的网站中有基于cookie的身份验证。@kishorer747您是否以代理身份通过ZAP登录？