我有一个在IIS上托管的本地网站,我正在尝试使用以守护进程模式执行的ZAP工具扫描我的应用程序。一切正常,直到我禁用"匿名身份验证"来自IIS的方法和唯一启用的方法是"基本身份验证"。我得到的错误是#34;无法攻击URL:收到401响应代码"。
是否有可能从守护进程模式发送登录凭据?
命令如下所示:zap.bat -quickurl" urlToTest" -quickprogress -daemon -cmd。
答案 0 :(得分:0)
-cmd选项将ZAP置于命令行/内联模式。 使用-daemon模式将ZAP置于守护进程模式,此时您需要使用ZAP API与其进行交互。 要处理身份验证,您必须将应用程序添加到Context,然后指定身份验证。 我们有一个基于表单的身份验证常见问题解答:https://github.com/zaproxy/zaproxy/wiki/FAQformauth您需要执行类似的操作,但需要指定HTTP / NTLM身份验证' :https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsAuthentication 我建议首先使用ZAP UI对此进行测试 - 然后您也可以导出到Context以在守护进程模式下重用。 任何问题都可能最好转到ZAP用户组:http://groups.google.com/group/zaproxy-users
Simon(ZAP项目负责人)