ZAP Ajax spider身份验证无法使用ZEST工作

时间:2016-09-26 21:44:07

标签: security zap zest application-security

遵循以下步骤: 1.记录ZEST脚本(测试工作) 2.在上下文中包含站点 3.添加用户 4.选择强制用户 5.上传脚本并选择基于脚本的身份验证 6.定义注销指示器 7.从蜘蛛中排除退出 8.运行Ajax spider选择上下文和用户

我错过了什么?

2 个答案:

答案 0 :(得分:1)

我意识到这是我创建ZEST脚本的技术的一个错误。如果我们直接开始录制,并选择身份验证脚本,它不会自动填充所有参数和登录URL选项。脚本 - >新脚本 - >身份验证 - >创建新脚本并保存 - >现在开始录制使它工作。另外,需要编辑 - >启用会话跟踪以帮助使其持久化。

答案 1 :(得分:0)

我们在此详细介绍了诊断身份验证问题的一些方法:https://github.com/zaproxy/zaproxy/wiki/FAQformauth

如果"强制用户模式已禁用 - 请单击以启用"按钮未启用,那么您尚未配置足够的信息供ZAP进行身份验证 - 请仔细检查您是否已执行上述所有步骤。

如果您已启用强制用户模式但仍未在访问应用程序时登录,请查看“历史记录”选项卡中的请求:

  • 如果没有登录请求,那么您可能没有选择合适的"登录/退出"指标,尝试更改它并再试一次
  • 如果有登录请求,请查看请求和响应,看看是否可以解决登录失败的原因 - 您可能需要更改请求甚至提出多个请求

如果您需要多次登录请求,那么最好的选择是记录Zest身份验证脚本并首先单独测试。