我已经使用ZAP一段时间了,我熟悉它的基本功能。
目前我遇到以下问题:我有一个Web应用程序,其中登录页面(POST请求)生成带有EMPTY内容的302响应,这意味着我无法确定哪个字符串/正则表达式应该传递给ZAP作为登录或注销指标。
我试图从登录页面或主页(一旦用户登录后)使用正则表达式登录/注销指示符,但这会产生问题。
1-ZAP检测用户未插入(因为,例如登录指示符字符串不存在) 2-ZAP自动发送我已标记为基于表单的身份验证的POST请求 3-post请求返回带有空主体的HTTP 302 4-As ZAP在HTTP 302主体中找不到登录和注销指示符,我返回登录页面,因此自动登录不起作用。
在这种情况下我该怎么办?正如我所提到的,我已经在几秒钟内成功地将ZAP自动登录用于其他项目/应用程序,但是这个带有空响应主体的HTTP 302正在构成问题。
通知书?
答案 0 :(得分:1)
您可能需要使用脚本。 验证脚本或自动跟随重定向的http_sender脚本。 有关ZAP用户组的更多详细信息,可能更容易讨论这个问题:http://groups.google.com/group/zaproxy-users
干杯,
Simon(ZAP项目负责人)