authentication - 在ZAP工具中添加身份验证以攻击URL

相当陈旧的问题，但在这里。

最简单的方法是通过ZAP将浏览器设置为Proxy。在Firefox上，您可以访问：

选项 - ＆gt;高级 - ＆gt;网络 - ＆gt;设置。

选择手动代理配置，并使用运行ZAP的计算机的地址（最可能是localhost）和配置的ZAP端口填充HTTP主机。

您可以检查和配置ZAP端口打开ZAP并访问：

工具 - ＆gt;选项 - ＆gt;本地代理。

然后打开您的网络浏览器并登录您的应用程序。现在转到ZAP，在“站点”选项卡（ZAP左侧）中，选择您的站点，右键单击它并选择：

包含在上下文中 - ＆gt;默认上下文

现在打开HTTP Sessions选项卡，右键单击会话并“Set as Active”。（HTTP会话选项卡：查看 - ＆gt;显示标签 - ＆gt; HTTP会话）

现在，您可以使用登录的会话执行ZAP Spider，Active Scan等操作。如果这不是您的方案，请提供有关您的应用程序使用的身份验证方法的详细信息。

希望它仍能帮助您或寻找类似问题的人。谢谢，

老问题，旧答案，但这是OWASP ZAP的核心开发人员之一的一个很好的教程：https://www.youtube.com/watch?v=cR4gw-cPZOA

快速回答：这取决于用于身份验证的方法。您可以在“身份验证”菜单中的“会话属性”中设置选项，还可以在“用户”菜单中定义不同的用户。

通过ZAP代理进行身份验证

ZAP支持网站/ webapps实现的多种身份验证。 ZAP中的身份验证方法是通过Contexts实现的，该方法定义了如何处理身份验证。认证用于创建与已认证的Web应用程序Users对应的 Session 。

OWASP ZAP实现的某些身份验证方法是：

手动身份验证 ：此方法允许用户手动执行身份验证（例如，通过ZAP代理时在浏览器中进行身份验证）。
HTTP / NTLM身份验证 ：此方法用于使用HTTP消息标头使用HTTP或NTLM身份验证机制强制实施身份验证的网站/ webapp。支持三种身份验证方案：基本，摘要和NTLM。
基于表单的身份验证 ：此方法用于通过提交表单或使用“登录网址”执行GET请求来进行身份验证的网站/ webapp一对“用户名/密码”身份验证凭据。
基于JSON的身份验证 ：此方法用于通过使用'username /'向'login url'提交JSON对象来完成身份验证的网站/ webapps密码的一对身份验证凭据。
基于脚本的身份验证 ：此方法对于身份验证较为复杂的网站/ webapps非常有用，并且一些处理身份验证过程的自定义脚本很有用。要使用此方法，您必须首先定义一个身份验证脚本，该脚本可以发送消息或执行Web应用程序所需的其他操作。然后选择该脚本以用于给定的上下文，并在执行身份验证时调用该脚本。

演示

作为一个示例，我将演示使用URL RFC 1945 根据https://jigsaw.w3.org/HTTP/Basic/由 HTTP / 1.1 实现的基本身份验证测试

步骤

请按照以下步骤通过ZAP实现基本身份验证：

打开ZAP并打开浏览器，例如通过点击打开 Firefox 图标打开在预配置为通过ZAP代理的“快速入门”选项卡中选择的浏览器。

点击基本身份验证测试（webpage上的最后一个第三链接），出现基本身份验证弹出窗口。

提供登录凭据：

用户名：访客

密码：访客

现在在ZAP工具的“历史记录”选项卡中，找到对 URL https://jigsaw.w3.org/HTTP/Basic/的 GET 请求，并观察 Response 确认基本身份验证。

请求的快照：

响应快照：

现在，您需要创建一个 Context ，以将其包含在 Default Context 中。因此，在URL上右键单击，然后从上下文菜单中选择包含在上下文中，然后选择默认上下文。 / li>

在“会话管理”菜单中，选择“ HTTP身份验证会话管理” 。

在“身份验证”菜单中，选择“ HTTP / NTLM身份验证” ，然后提供主机名和端口。

在“用户”菜单中，添加所需用户的凭据。

单击“确定”按钮以保存配置。

最后，您需要通过从ZAP窗格中启用ZAP来将其配置为使用强制用户模式。

双击默认上下文，选择强制用户，并确保已设置所需的用户。

现在，选择URL，右键单击，选择在浏览器中打开URL ，然后选择 Firefox

您将通过ZAP通过基本身份验证自动授权。

在ZAP工具中添加身份验证以攻击URL

3 个答案:

通过ZAP代理进行身份验证

演示

步骤