我有一個本地網站託管在IIS上,我試圖用在守護進程模式下執行的ZAP工具掃描我的應用程序。一切正常,直到我禁用IIS中的「匿名身份驗證」方法,並且啓用的唯一方法是「基本身份驗證」。我得到的錯誤是「無法攻擊URL:收到401響應代碼」。Zed攻擊代理身份驗證錯誤(401) - 守護進程模式
有沒有可能從守護進程模式發送登錄憑證?
該命令如下所示:zap.bat -quickurl「urlToTest」-quickprogress -daemon -cmd。
-cmd選項使ZAP進入命令行/內聯模式。 使用-daemon模式將ZAP置於守護進程模式,此時您需要使用ZAP API與之進行交互。 要處理身份驗證,您必須將應用程序添加到上下文,然後指定身份驗證。 我們有基於表單身份驗證的常見問題解答:https://github.com/zaproxy/zaproxy/wiki/FAQformauth您需要做類似的事情,但需要指定'HTTP/NTLM身份驗證':https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsAuthentication 我建議先使用ZAP UI進行測試 - 也可以導出到上下文在守護進程模式下重用。 任何問題,那麼它可能是最好的頭向ZAP用戶組:http://groups.google.com/group/zaproxy-users
西蒙(ZAP項目負責人)
謝謝你,西蒙。我設法通過從ZAP UI導出上下文來掃描我的應用程序,然後通過API進行掃描。 –