Добрый день дорогая община,
У меня проблема со сканером owasp zap.
Сводка: сценарий проверки подлинности не выполняется перед активным сканированием или сканированием.
Здесь больше деталей:
Проверка подлинности контекста использует метод проверки подлинности на основе сценариев:
session.png
Чтобы аутентифицировать скрипт, содержит 4 вызова API, все они зависят друг от друга.
auth_script.png
Итак, в основном, запу нужно выполнить этот скрипт (все четыре вызова API), получить куки и использовать его для дальнейшего активного сканирования.
Единственный способ сделать это - это запустить скрипт, который содержит 4 вызова API для аутентификации, ИЛИ запустить скрипт selenium, который будет делать то же самое, но на стороне пользовательского интерфейса.
Сейчас я пытаюсь использовать сценарий (который выглядит проще).
Но когда я запускаю свое активное сканирование, owasp zap не запускает скрипт, а просто запускает атаку на URL-адреса с «сайтов».
active_scan.png
Может ли кто-нибудь прояснить, почему это происходит и как настроить контекст / приложение / etc для запуска сценария аутентификации перед запуском самого сканирования?
До этого сервер возвращает 403 для всех запросов, поскольку все они не аутентифицированы.
Я надеюсь, что кто-то может мне помочь, я уже трачу много времени, чтобы выяснить, но все еще не могу найти решение ..
Копия этого вопроса также здесь:
https://groups.google.com/forum/#!topic/zaproxy-users/Fs9EoasHycI