如何使用 ZAP 和 HTTP 302 执行身份验证
How to perform authentication with ZAP and HTTP 302
我使用 ZAP 有一段时间了,我熟悉它的基本功能。
目前我面临以下问题:我有一个 Web 应用程序,其中登录页面(POST 请求)生成一个内容为 EMPTY 的 302 响应,这意味着我无法确定哪个 string/regex 我应该将登录或注销指示器传递给 ZAP。
我尝试使用正则表达式从登录页面或主页(一旦用户登录)登录 in/log 输出指示器,但这会带来问题。
1-ZAP 检测到用户未登录(因为登录指示符字符串不存在)
2-ZAP 自动发送我标记为基于表单的身份验证的 POST 请求
3-post 请求 returns 带有空主体的 HTTP 302
4-由于 ZAP 在 HTTP 302 正文中找不到登录和注销指示符,我返回到登录页面,所以自动登录不起作用。
遇到这种情况我该怎么办?正如我所提到的,我已经在几秒钟内成功地为其他 projects/applications 使用了 ZAP 自动登录,但是这个带有空响应正文的 HTTP 302 造成了问题。
建议?
您可能需要使用脚本。
自动跟随重定向的身份验证脚本或 http_sender 脚本。
在 ZAP 用户组更详细地讨论这个问题可能更容易:http://groups.google.com/group/zaproxy-users
干杯,
西蒙(ZAP 项目负责人)
我使用 ZAP 有一段时间了,我熟悉它的基本功能。
目前我面临以下问题:我有一个 Web 应用程序,其中登录页面(POST 请求)生成一个内容为 EMPTY 的 302 响应,这意味着我无法确定哪个 string/regex 我应该将登录或注销指示器传递给 ZAP。
我尝试使用正则表达式从登录页面或主页(一旦用户登录)登录 in/log 输出指示器,但这会带来问题。
1-ZAP 检测到用户未登录(因为登录指示符字符串不存在) 2-ZAP 自动发送我标记为基于表单的身份验证的 POST 请求 3-post 请求 returns 带有空主体的 HTTP 302 4-由于 ZAP 在 HTTP 302 正文中找不到登录和注销指示符,我返回到登录页面,所以自动登录不起作用。
遇到这种情况我该怎么办?正如我所提到的,我已经在几秒钟内成功地为其他 projects/applications 使用了 ZAP 自动登录,但是这个带有空响应正文的 HTTP 302 造成了问题。
建议?
您可能需要使用脚本。 自动跟随重定向的身份验证脚本或 http_sender 脚本。 在 ZAP 用户组更详细地讨论这个问题可能更容易:http://groups.google.com/group/zaproxy-users
干杯,
西蒙(ZAP 项目负责人)