0
我配置了ZAP 2.6,以便它充當代理從Android應用通過HTTPS到Web服務的請求。認證機制的OAuth 2,所以在我登錄響應,我得到一個訪問令牌,然後在所有後續請求的頭部信息如下Zed攻擊代理使用OAuth自動掃描WebApi
Authorization: Bearer my_long_and_encoded_access_token
是否有可能獲得ZAP承認此令牌,並用它從ZAP UI發起的測試?
我看過Automate OAuth access token for Zed Attack Proxy Scans,但不相信這涵蓋了我的情況。
謝謝。
謝謝西蒙。我知道你在這裏很活躍,希望你能回答。是否有計劃支持請求頭像在會話cookie中以相同的方式在將來開箱即用?我可以找到的所有視頻都使用會話cookie,然後使用spider或fuzzing來顯示使用ZAP的簡單性。順便說一句,這是一款出色的工具,可以幫助您獲得它。 – Chris
你需要什麼樣的支持?您可以覆蓋任何您喜歡的標頭 - 請參閱https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html –
H Simon的'Authentication'部分。我沒有看到這個,但可能會跳過它,因爲它似乎指的是使用命令行,並設置硬編碼值。按照建議,我發佈了一個問題https://groups.google.com/forum/#!topic/zaproxy-users/pQm1FlCcNMI,並取得了一些進展。我會將這個問題標記爲答案,因爲我在ZAP用戶組中找到了更好的資源,正如您所建議的那樣。 要回答你的問題,我想我正在尋找一個上下文身份驗證選項,但已經開始編寫腳本,我可以看到它可能比有幾個字段允許的對話框更復雜。 – Chris