OWASP ZAP的基本授权

Question

我需要通过OWASP ZAP工具攻击端点（获得2.5.0版本）。我通过Postman测试了端点。我有类型的授权：基本身份验证，用户名：exampleUserName，密码：examplePass。

请您给我任何提示，如何在OWASP ZAP中设置Basic Auth？

我为我的上下文设置了用户。需要什么？

找到解决方案：

1）控制面板 - ＆gt;互联网选项 - ＆gt;连接 - ＆gt;局域网设置 - ＆gt;检查＆＃34;使用代理等。＆＃34; - ＆GT;单击确定

2）通过Postman用Basic Auth发送请求

3）端点在OWASP ZAP工具的“站点”部分

中可见

4）右键单击端点，选择Atack动作

Answer 1

我们有一个常见问题解答:) https://github.com/zaproxy/zaproxy/wiki/FAQformauth

复制此处以供参考：

通过用户界面：

1. 通过ZAP代理时探索您的应用
2. 使用有效的用户名和密码登录
3. 定义上下文，例如右键单击“站点”选项卡中应用程序的顶部节点，然后选择“包含在上下文中”
4. 在“网站”或“历史记录”标签中找到“登录请求”
5. 右键单击它并选择“标记为上下文”/“基于表单的身份验证登录请求”
6. 检查用户名和密码参数是否设置正确 - 几乎肯定不会！
7. 在响应中查找可用于确定用户是否已登录的字符串
8. 突出显示此字符串，右键单击并选择“标记为上下文”/“登录/注销指示符”相关 - 您只需设置其中一个，而不是两个
9. 双击相关的Context节点并导航到“Users”页面 - 检查用户详细信息是否正确，添加您要使用的任何其他用户并启用所有用户
10. 导航到“强制用户”上下文页面，确保选择要测试的用户
11. 现在应启用“强制用户模式已禁用 - 单击以启用”按钮
12. 按下此按钮将导致ZAP在检测到用户不再登录时重新发送身份验证请求，即使用“登录”或“已注销”指示符。

如果未启用“强制用户模式禁用 - 单击以启用”按钮，则表示您尚未配置足够的信息供ZAP进行身份验证 - 请仔细检查您是否已执行上述所有步骤。

如果您已启用强制用户模式但仍未在访问应用程序时登录，请查看“历史记录”选项卡中的请求：

• 如果没有登录请求，那么您可能没有选择 合适的“登录/退出”指示器，尝试更改它并再次尝试
• 如果有登录请求，请查看请求和响应 并查看您是否可以解决登录失败的原因 - 您可能需要 更改请求甚至提出多个请求

如果您需要多次登录请求，那么最好的选择是记录Zest身份验证脚本并首先单独测试。

FAQ还详细介绍了如何通过ZAP API设置身份验证。