如何将身份验证详细信息传递给 ZAP 工具以扫描网站。请帮我解决问题。
最佳答案
很老的问题,但它就在这里。
最简单的方法是通过 ZAP 将浏览器设置为代理。
在 Firefox 上,您可以访问:
选项 -> 高级 -> 网络 -> 设置。
选择 Manual Proxy Configuration 并用运行 ZAP 的机器的地址(很可能是 localhost)和配置的 ZAP 端口填充 HTTP 主机。
您可以检查和配置 ZAP 端口打开 ZAP 并访问:
工具 -> 选项 -> 本地代理。
然后打开您的网络浏览器并登录到您的应用程序。
现在转到 ZAP,在站点选项卡(ZAP 的左侧)中,选择您的站点,右键单击它并选择:
包含在上下文中 -> 默认上下文
现在打开 HTTP session 选项卡,右键单击 session 并“设置为事件”。
(HTTP session 选项卡:查看 -> 显示选项卡 -> HTTP session )
现在您可以通过登录 session 执行 ZAP Spider、Active Scan 等。
如果这不是您的情况,请提供有关您的应用程序使用哪种身份验证方法的更多信息。
希望它仍然可以帮助您或寻找类似问题的人。
谢谢,
关于authentication - 在 ZAP 工具中添加身份验证以攻击 URL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31516420/