我有一个托管在 IIS 上的本地网站,我正在尝试使用在守护程序模式下执行的 ZAP 工具扫描我的应用程序。一切正常,直到我从 IIS 禁用“匿名身份验证”方法并且启用的唯一方法是“基本身份验证”。我得到的错误是“无法攻击 URL:收到 401 响应代码”。
是否有可能从守护程序模式发送登录凭据?
命令如下所示:zap.bat -quickurl "urlToTest" -quickprogress -daemon -cmd。
【问题讨论】:
标签: authentication owasp zap
-cmd 选项将 ZAP 置于命令行/内联模式。 使用 -daemon 模式将 ZAP 置于守护模式,此时您需要使用 ZAP API 与之交互。 要处理身份验证,您必须将应用程序添加到上下文,然后指定身份验证。 我们有一个基于表单的身份验证的常见问题解答:https://github.com/zaproxy/zaproxy/wiki/FAQformauth 您需要做类似的事情,但指定“HTTP/NTLM 身份验证”:https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsAuthentication 我建议首先使用 ZAP UI 进行测试 - 然后您也可以导出到 Context 以在守护程序模式下重用。 如有任何问题,最好前往 ZAP 用户组:http://groups.google.com/group/zaproxy-users
西蒙(ZAP 项目负责人)
【讨论】: