OWASP ZAP,如何使用基于表单的身份验证登录上下文和 POST 请求进行身份验证
OWASP ZAP, how to authenticate using Form-based Auth Login context and POST request
我目前正在尝试使用 OWASP ZAP 扫描我们的 Web 应用程序,但我遇到了一个我似乎无法解决的问题。
问题是,为了扫描我需要登录的应用程序,我遵循了多个在线教程和文档,并尝试执行以下操作:
- 为应用程序入口点创建一般上下文(第一个
GET
请求)
- 将基于表单的身份验证(
POST
请求)标记为 Default Context : Form-based Auth Login Request
- 在浏览器中打开URL
但是 ZAP 发送 GET
请求而不是 POST
请求,所以我们的应用程序 returns 405 Method Not Allowed
至于身份验证必须使用 POST
请求而不是使用的 GET
请求。
如何创建上下文以向应用程序而不是 GET
发送 POST
身份验证请求?
我正在尝试解决这个问题,以便稍后通过使用 Docker 中的 weekly-image
和 -c <exported_context_file>
标志来定期扫描我们的 Web 应用程序来自动执行此操作。
你能建议怎么做吗?
谢谢
ZAP 绝对支持通过 POST 请求进行身份验证。如果没有配置的完整详细信息,很难说出您做错了什么。如果您还没有使用桌面来设置它,那么就这样做吧 - 它更容易看到发生了什么。
查看此常见问题解答:https://www.zaproxy.org/faq/how-can-zap-automatically-authenticate-via-forms/ 尤其是“诊断问题”部分。
如果您仍有问题,请在 ZAP 用户组上提问:https://groups.google.com/g/zaproxy-users/
我目前正在尝试使用 OWASP ZAP 扫描我们的 Web 应用程序,但我遇到了一个我似乎无法解决的问题。
问题是,为了扫描我需要登录的应用程序,我遵循了多个在线教程和文档,并尝试执行以下操作:
- 为应用程序入口点创建一般上下文(第一个
GET
请求) - 将基于表单的身份验证(
POST
请求)标记为Default Context : Form-based Auth Login Request
- 在浏览器中打开URL
但是 ZAP 发送 GET
请求而不是 POST
请求,所以我们的应用程序 returns 405 Method Not Allowed
至于身份验证必须使用 POST
请求而不是使用的 GET
请求。
如何创建上下文以向应用程序而不是 GET
发送 POST
身份验证请求?
我正在尝试解决这个问题,以便稍后通过使用 Docker 中的 weekly-image
和 -c <exported_context_file>
标志来定期扫描我们的 Web 应用程序来自动执行此操作。
你能建议怎么做吗?
谢谢
ZAP 绝对支持通过 POST 请求进行身份验证。如果没有配置的完整详细信息,很难说出您做错了什么。如果您还没有使用桌面来设置它,那么就这样做吧 - 它更容易看到发生了什么。
查看此常见问题解答:https://www.zaproxy.org/faq/how-can-zap-automatically-authenticate-via-forms/ 尤其是“诊断问题”部分。
如果您仍有问题,请在 ZAP 用户组上提问:https://groups.google.com/g/zaproxy-users/