OWASP zap python api 认证

Question

首先我想说我喜欢这个工具，如果你熟悉 Zap，API 的编写方式非常容易理解。我遇到的唯一麻烦是我找不到太多关于 python API 的文档，所以我已经离开了源代码并验证了它是如何针对应用程序工作的。我已经能够提取扫描并设置上下文，但我似乎无法正确调用身份验证模块中的任何内容。我相信我的问题之一是我不完全确定调用函数时要使用的确切变量或它们各自的格式。下面是我一起废弃的一些示例代码。每次使用下面的身份验证功能都让我失望。即使有人看到这个并告诉我去哪里或自己解决这个问题，我也会非常感激。

from zapv2 import ZAPv2

context = 'new_attack'

authmethodname = 'formBasedAuthentication'

authmethodconfigparams = "".join('loginUrl=someloginpage' 'loginRequestData=username%3D%7B%25user1%25%7D%26' 'password%3D%7B%25password%25%7D')

target = 'some target but I cant put more than 2 links in this question'

apikey = 'password'

zap = ZAPv2(apikey=apikey)

print zap.context.new_context('new_attack')

print zap.context.include_in_context(context, 'https://192.168.0.1.*')

print zap.context.context(context)

#anything below here gives me 'Missing Params' an error from zap
print zap.authentication.set_logged_in_indicator(context, loggedinindicatorregex='Logged in')

print zap.authentication.set_logged_out_indicator(context, 'Sorry, the username or password you entered is incorrect')


print zap.authentication.set_authentication_method(context, authmethodname, authmethodconfigparams)

Answer 1

该项目的开发人员能够回答我的问题，所以我想我也会把它放在这里。本质上，身份验证函数将 contextid 和 userid 作为参数，我传递的是上下文名称和用户名。我还从源代码中解释了一些其他错误。希望这也可以帮助其他刚开始使用 API 的人，因为没有很多文档。 来自 github 页面 zaproxy；用户名 thc202 -"

from zapv2 import ZAPv2
context = 'new_attack'
authmethodname = 'formBasedAuthentication'
authmethodconfigparams = "".join('loginUrl=https://192.168.0.1/dologin.html' '&loginRequestData=username%3D%7B%25username%25%7D%26' 'password%3D%7B%25password%25%7D')
target = 'https://192.168.0.1'
apikey = 'password'
zap = ZAPv2(proxies={'http': 'http://127.0.0.1:8119', 'https': 'http://127.0.0.1:8119'}, apikey=apikey)

contextid = zap.context.new_context(context)
print contextid
print zap.context.include_in_context(context, 'https://192.168.0.1.*')

print zap.context.context(context)

print zap.authentication.set_authentication_method(contextid, authmethodname, authmethodconfigparams)
# The indicators should be set after setting the authentication method.
print zap.authentication.set_logged_in_indicator(contextid, loggedinindicatorregex='Logged in')
print zap.authentication.set_logged_out_indicator(contextid, 'Sorry, the username or password you entered is incorrect')

userid = zap.users.new_user(contextid, 'User 1')
print userid
print zap.users.set_authentication_credentials(contextid, userid, 'username=MyUserName&password=MySecretPassword')
print zap.users.set_user_enabled(contextid, userid, True)

print zap.spider.scan_as_user(contextid, userid, target)

"