Zed Attack Proxy 使用 OAuth 自动扫描 WebApi
Zed Attack Proxy automated scanning of WebApi with OAuth
我已经配置了 ZAP 2.6,因此它可以作为 Android 应用通过 HTTPS 向 Web 服务发送请求的代理。身份验证机制是 OAuth 2,因此在我的登录响应中,我得到一个访问令牌,然后在所有后续请求中发送该令牌 headers,如下所示
Authorization: Bearer my_long_and_encoded_access_token
是否可以让 ZAP 识别此令牌并在从 ZAP UI 启动的测试中使用它?
我看过 但不相信这涵盖了我的情况。
谢谢。
是的,您可以创建一个脚本来提取此令牌,然后在以后的请求中使用它。
如果您需要有关此类脚本的帮助,那么询问 ZAP 用户组可能比在这里询问更好;)
我已经配置了 ZAP 2.6,因此它可以作为 Android 应用通过 HTTPS 向 Web 服务发送请求的代理。身份验证机制是 OAuth 2,因此在我的登录响应中,我得到一个访问令牌,然后在所有后续请求中发送该令牌 headers,如下所示
Authorization: Bearer my_long_and_encoded_access_token
是否可以让 ZAP 识别此令牌并在从 ZAP UI 启动的测试中使用它?
我看过
谢谢。
是的,您可以创建一个脚本来提取此令牌,然后在以后的请求中使用它。 如果您需要有关此类脚本的帮助,那么询问 ZAP 用户组可能比在这里询问更好;)