Базовая авторизация в OWASP ZAP

Question

Базовая авторизация в OWASP ZAP

Мне нужно атаковать конечные точки с помощью инструмента OWASP ZAP (версия 2.5.0). Я проверял конечные точки через почтальона. Я получил авторизацию с типом: Basic Auth, Имя пользователя:exampleUserName, Пароль: examplePass.

Подскажите, пожалуйста, как настроить Basic Auth в OWASP ZAP?

Я настроил пользователя для своего контекста. Какой есле нужен?

Найденное решение:

1) Панель управления -> Свойства обозревателя -> Подключения -> Параметры локальной сети -> установите флажок "Использовать прокси для и т. Д." -> нажмите ОК

2) Отправить запрос через Почтальон с Basic Auth

3) Конечная точка видна в инструменте OWASP ZAP, в разделе Сайты

4) щелкните правой кнопкой мыши на конечной точке, выберите Atack action

1

basic-authentication endpoint owasp zap

Источник

user2491289 13 фев '17 в 11:46

1 ответ

Другие вопросы по тегам basic-authentication endpoint owasp zap

user1509834 13 фев '17 в 11:55 2017-02-13 11:55 · Answer 1 · 2017-02-13 11:55

У нас есть FAQ для этого:) https://github.com/zaproxy/zaproxy/wiki/FAQformauth

Скопировано здесь для справки:

Через пользовательский интерфейс:

Исследуйте свое приложение при прокси через ZAP
Войдите, используя действительное имя пользователя и пароль
Определите контекст, например, щелкнув правой кнопкой мыши верхний узел вашего приложения на вкладке Сайты и выбрав "Включить в контекст"
Найдите "Запрос на вход" на вкладке "Сайты или история".
Щелкните правой кнопкой мыши и выберите "Пометить как контекст" / "Запрос авторизации на основе формы"
Убедитесь, что параметры имени пользователя и пароля установлены правильно - они почти наверняка не будут!
Найдите в ответе строку, которая может быть использована для определения, вошел ли пользователь в систему или нет.
Выделите эту строку, щелкните правой кнопкой мыши и выберите "Пометить как контекст" / "Индикатор входа / выхода" как релевантный - вам нужно установить только один из них, а не оба
Дважды щелкните по соответствующему узлу Context и перейдите на страницу "Users" - проверьте правильность данных пользователя, добавьте любых других пользователей, которых вы хотите использовать, и включите их всех.
Перейдите на контекстную страницу "Принудительный пользователь" и убедитесь, что выбран пользователь, которого вы хотите протестировать.
Кнопка "Принудительный режим пользователя отключена - нажмите, чтобы включить" теперь должна быть включена
Нажатие этой кнопки приведет к тому, что ZAP повторно отправит запрос аутентификации, когда обнаружит, что пользователь больше не вошел в систему, то есть с помощью индикатора "вошел в систему" или "вышел из системы".

Если кнопка "Принудительный режим пользователя отключена - нажмите, чтобы включить" не включена, значит, вы не настроили достаточно информации для аутентификации ZAP - дважды проверьте, что вы выполнили все вышеперечисленные действия.

Если вы включили принудительный режим пользователя и по-прежнему не вошли в систему при доступе к приложению, просмотрите запросы на вкладке "Журнал":

Если нет запроса на вход в систему, то вы, вероятно, не выбрали
подходящий индикатор "залог / выход", попробуйте изменить его и попробуйте снова
Если есть запрос на вход в систему, посмотрите на запросы и ответ и посмотрите, сможете ли вы выяснить, почему произошел сбой входа - вам может потребоваться изменить запрос или даже сделать несколько запросов.

Если вам нужно сделать несколько запросов на вход в систему, тогда лучше всего записать скрипт аутентификации Zest и сначала протестировать его изолированно.

В FAQ также подробно рассказывается, как настроить аутентификацию через ZAP API.