我想使用zap扫描需要Authentication头的rest API端点。
要指定标题,我必须右键单击历史记录选项卡中的请求并添加标题,但是没有标题的请求甚至不会记录在历史记录选项卡中。如何指定请求标头?
答案 0 :(得分:1)
您可能希望查看此博文:https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html
基本上,您可以通过配置参数指定新标头,例如:
-config replacer.full_list\(0\).description=auth1 \
-config replacer.full_list\(0\).enabled=true \
-config replacer.full_list\(0\).matchtype=REQ_HEADER \
-config replacer.full_list\(0\).matchstr=Authorization \
-config replacer.full_list\(0\).regex=false \
-config replacer.full_list\(0\).replacement=123456789 \
-config replacer.full_list\(1\).description=auth2 \
-config replacer.full_list\(1\).enabled=true \
-config replacer.full_list\(1\).matchtype=REQ_HEADER \
-config replacer.full_list\(1\).matchstr=AnotherHeader \
-config replacer.full_list\(1\).regex=false \
-config replacer.full_list\(1\).replacement=abcdefghi
将导致以下标头添加到ZAP所做的每个请求中:
Authorization: 123456789
AnotherHeader: abcdefghi
您可以使用递增索引指定所需数量的标头。
答案 1 :(得分:0)