2017-02-13 113 views
0

我需要通過OWASP ZAP工具攻擊端點(獲得2.5.0版本)。我通過Postman測試了端點。我有類型授權:基本認證,用戶名:exampleUserName,密碼:examplePass。OWASP ZAP中的基本授權

請你給我一些提示,如何在OWASP ZAP中設置Basic Auth?

我爲我的上下文設置了用戶。需要什麼esle?

實測溶液:

1)控制面板 - > Internet選項 - >連接 - >局域網設置 - >檢查 「使用代理對等」 - >單擊OK

2)通過郵遞員發送查詢請求使用基本驗證

3)的終點是可見的OWASP ZAP工具,在網站部分

4)在端點點擊右鍵,選擇阿塔克行動

回答

0

我們在這裏複製以供參考而已:) https://github.com/zaproxy/zaproxy/wiki/FAQformauth

一個常見問題:

通過UI:

  1. 探索您的應用程序,同時通過ZAP使用有效的用戶名和密碼
  2. 定義上下文進行代理
  3. 登錄,例如,通過右鍵單擊在網站選項卡,選擇「您的應用程序的頂級節點的語境包括「
  4. 發現在網站的‘登錄請求’或歷史標籤
  5. 右鍵單擊它並選擇‘舉報環境’/」基於表單的身份驗證登錄請求」
  6. 檢查用戶名和密碼參數設置正確地 - 他們幾乎肯定不會成爲!
  7. 查找可用於確定用戶是否登錄或不
  8. 高亮顯示該字符串的響應串,右擊並選擇「舉報環境」 /「登錄/退出指示器」的相關 - 您只需要設置其中一個,而不是兩個
  9. 雙擊相關的上下文節點並導航到「用戶」頁面 - 檢查用戶詳細信息是否正確,添加您想要使用的任何其他用戶並啓用它們全部
  10. 導航到上下文「強制用戶」頁面,並確保您要測試的用戶被選中
  11. 「禁用強制用戶模式 ​​- 單擊啓用」按鈕現在應該是ena流血
  12. 按下此按鈕將導致ZAP重新發送身份驗證請求,只要它檢測到用戶不再登錄,即通過使用「登錄」或「註銷」指示器。

如果「禁用強制用戶模式 ​​- 單擊啓用」按鈕未啓用,則表示您尚未配置足夠的ZAP驗證信息 - 請檢查您是否執行了上述所有步驟。

如果已經啓用強制用戶模式,當你訪問那麼你的應用程序看起來在歷史記錄選項卡的請求仍然沒有登錄:

  • 如果沒有登錄請求,那麼你有可能不選擇一個
    合適的「登錄/退出」指標,嘗試改變它,並再次嘗試
  • 如果有那麼一個登錄請求看一下請求和響應 ,看看你是否能明白爲什麼登錄失敗 - 你可能需要到 更改請求甚至發出多個請求

如果您需要提出多個登錄請求,那麼最好的選擇是記錄一個Zest身份驗證腳本並首先對其進行隔離測試。

該FAQ還詳細介紹瞭如何通過ZAP API設置身份驗證。