如何使用 OWASP ZAP 基线扫描进行身份验证

【问题标题】:How to authenticate with OWASP ZAP baseline scan如何使用 OWASP ZAP 基线扫描进行身份验证
【发布时间】:2023-10-02 23:36:01
【问题描述】:

我正在尝试在使用身份验证的网站上使用 OWASP ZAP 运行基线扫描。它使用基于 JSON 的身份验证。但是当我运行它时,我在结果中看到它没有登录。

我是这样运行的:

docker run -v C:/ZAP/:/zap/wrk owasp/zap2docker-weekly zap-baseline.py -t https://myaddress.com -n somecontext.context -z "-config forcedUser.setForcedUserModeEnabled=true"

这是我做的手动测试。

  1. 在 GUI 模式下运行 ZAP
  2. 导入的上下文
  3. 通过单击按钮打开“强制用户模式”
  4. 已运行自动扫描。它奏效了,所以我认为上下文没问题

docker 安装 (-v) 似乎也可以。当我添加 -r report.xml 时,我可以在 zap 完成后在 C:/ZAP/ 中看到报告。

【问题讨论】:

  • 您找到使用基线扫描脚本进行身份验证的方法了吗?
  • 我已经按照@kingthorin 的建议使用了这个github.com/ICTU/zap-baseline。但必须对其进行修改才能与我的应用程序一起使用。

标签: authentication owasp zap


【解决方案1】:

基线扫描与描述的有限功能基线完全相同:https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan

ICTU 有第三方修改支持身份验证的基线扫描:https://github.com/ICTU/zap-baseline

【讨论】:

  • 我已经尝试过支持身份验证的那个,但它似乎不适用于我的情况。我认为问题在于我的应用程序是异步的,并且 ZAP 不等待输入出现。我已经在我的另一个具有静态日志记录页面的应用程序上尝试了具有身份验证功能的应用程序,它可以工作。但我正在尝试在我的动态应用中找到一种授权方式。
  • 您可能需要使用 Ajax 蜘蛛。我建议让它在 tue GUI 中工作,然后自动化/编写脚本。
  • 我用过 github.com/ICTU/zap-baseline 。但必须对其进行修改才能与我的应用程序一起使用。
  • 感谢您告诉我们,考虑回馈您的模组或写一篇关于您的设置的博文。
猜你喜欢
相关资源
最近更新 更多
热门标签
Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式