Добавление аутентификации в инструмент ZAP для атаки URL-адреса

Ответ 1

Довольно старый вопрос, но здесь он идет.

Самый простой способ сделать это - установить браузер на Proxy через ZAP. В Firefox вы можете перейти к:

Параметры → Дополнительно → Сеть → Настройки.

Выберите "Настройка ручного прокси" и заполните HTTP-хост адресом компьютера, на котором запущен ZAP (скорее всего, локальный хост) и настроенный порт ZAP.

Вы можете проверить и настроить открытие ZAP-порта ZAP и доступ к нему:

Инструменты → Параметры → Локальный прокси.

Затем откройте свой веб-браузер и войдите в свое приложение. Теперь перейдите в ZAP, на вкладке Сайты (слева от ZAP) выберите свой сайт, щелкните по нему правой кнопкой мыши и выберите:

Включить в контекст → Контекст по умолчанию

Теперь откройте вкладку "Сеансы HTTP" правой кнопкой мыши по сеансу и "Установить как активный". (Вкладка сеансов HTTP: просмотр → Показать вкладку → сеансы HTTP)

Теперь вы можете выполнять ZAP Spider, активное сканирование и, таким образом, с помощью сеанса. Если это не ваш сценарий, предоставьте дополнительную информацию о том, какой метод аутентификации используется вашим приложением.

Надеюсь, это все равно поможет вам или кому-то, кто ищет похожие вопросы. Спасибо,

Ответ 2

Старый вопрос, старый ответ, но вот хороший учебник одного из основных разработчиков OWASP ZAP: https://www.youtube.com/watch?v=cR4gw-cPZOA p >

Быстрый ответ: зависит от метода, используемого для аутентификации. Вы можете установить параметры в свойствах сеанса в меню "Аутентификация", а также вы можете определить разных пользователей в меню "Пользователи".