Authentication 在ZAP工具中添加身份验证以攻击URL
如何将身份验证详细信息传递给ZAP工具以扫描网站。请帮我解决这个问题。很老的问题,但它来了 最简单的方法是通过ZAP将浏览器设置为代理。 在Firefox上,您可以访问: 选项->高级->网络->设置 选择Manual Proxy Configuration(手动代理配置),并用运行ZAP的机器的地址(很可能是本地主机)和配置的ZAP端口填充HTTP主机 您可以检查和配置ZAP端口打开ZAP和访问: 工具->选项->本地代理 然后打开web浏览器并登录到应用程序。 现在转到ZAP,在“站点”选项卡(ZAP的左侧)中,选择您的站点,右键单击它并选择: 包含在上下文->默认上下文中 现在打开HTTP会话选项卡,右键单击会话并“设置为活动”。 (HTTP会话选项卡:查看->显示选项卡->HTTP会话) 现在,您可以通过登录会话执行ZAP Spider、活动扫描等操作。 如果这不是您的方案,请提供有关您的应用程序正在使用的身份验证方法的更多信息 希望它仍然能帮助你或其他人寻找类似的问题。Authentication 在ZAP工具中添加身份验证以攻击URL,authentication,session,owasp,zap,penetration-testing,Authentication,Session,Owasp,Zap,Penetration Testing,如何将身份验证详细信息传递给ZAP工具以扫描网站。请帮我解决这个问题。很老的问题,但它来了 最简单的方法是通过ZAP将浏览器设置为代理。 在Firefox上,您可以访问: 选项->高级->网络->设置 选择Manual Proxy Configuration(手动代理配置),并用运行ZAP的机器的地址(很可能是本地主机)和配置的ZAP端口填充HTTP主机 您可以检查和配置ZAP端口打开ZAP和访问: 工具->选项->本地代理 然后打开web浏览器并登录到应用程序。 现在转到ZAP,在“站点”选项
谢谢,旧问题,旧答案,但这里有一个由OWASP ZAP的核心开发人员之一编写的好教程: 快速回答:这取决于用于身份验证的方法。您可以在“身份验证”菜单中的会话属性中设置选项,也可以在“用户”菜单中定义不同的用户。通过ZAP代理进行身份验证 ZAP支持由网站/webapps实现的多种类型的身份验证。ZAP中的身份验证方法是通过定义如何处理身份验证来实现的。身份验证用于创建与经过身份验证的webapp相对应的会话 由实现的一些身份验证方法包括:
- 手动身份验证:此方法允许用户手动执行身份验证(例如,通过ZAP代理时在浏览器中进行身份验证)
- HTTP/NTLM身份验证:此方法用于使用HTTP消息头的HTTP或NTLM身份验证机制实施身份验证的网站/Web应用程序。支持三种身份验证方案:Basic、Digest和NTLM
- 基于表单的身份验证:此方法用于网站/Web应用程序,其中身份验证通过提交表单或使用“用户名/密码”对身份验证凭据执行对“登录url”的GET请求来完成
- 基于JSON的身份验证:此方法用于通过使用“用户名/密码”对身份验证凭据向“登录url”提交JSON对象来完成身份验证的网站/Web应用程序
- 基于脚本的身份验证:此方法适用于身份验证更为复杂的网站/Web应用程序,并且一些处理身份验证过程的自定义脚本是有益的。要使用此方法,必须首先定义一个身份验证脚本,该脚本根据web应用程序的需要发送消息或执行其他操作。然后选择此脚本用于给定上下文,并在执行身份验证时调用它
示范 作为一个示例,我将演示HTTP/1.1根据使用url实现的基本身份验证测试
台阶 按照以下步骤通过ZAP实现基本身份验证:
- 打开ZAP并打开浏览器,例如Firefox,方法是单击“快速入门”选项卡中的图标,打开您在该选项卡中选择的浏览器,该浏览器已预先配置为通过ZAP代理
- 单击基本身份验证测试(上的最后三个链接),基本身份验证弹出窗口显示在该链接上
- 提供登录的凭据:
- 用户名:guest
- 密码:guest
- 现在,在ZAP工具的History选项卡中,找到对URL的GET请求,并观察确认基本身份验证的响应。
- 请求的快照:
- 响应快照:
- 现在您需要创建一个上下文,将其包含在默认上下文中。因此,右键单击URL并从上下文菜单中选择IncludeinContext,然后选择DefaultContext
- 在会话管理菜单中,选择HTTP身份验证会话管理
- 在Authentication菜单中,选择HTTP/NTLM Authentication并提供主机名和端口
- 在用户菜单中,添加所需用户的凭据
- 单击OK按钮保存配置
- 最后,您需要通过从ZAP窗格启用强制用户模式,将ZAP配置为使用强制用户模式
- 双击默认上下文,选择强制用户并确保设置了所需的用户
- 现在,选择URL,右键单击,选择在浏览器中打开URL,然后选择Firefox
- 您将通过基本身份验证通过ZAP自动授权
我看不到
HTTP会话选项卡
View->Show Tabs->HTTP会话选项卡如何在上下文中包含默认上下文?在默认上下文中包含我的站点后,我在HTTP会话选项卡中看不到任何条目。可能是什么问题?我的网站中有基于cookie的身份验证。@kishorer747您是否以代理身份通过ZAP登录?