zaproxy - 带有请求标头的API扫描

时间:2017-08-03 16:26:26

标签: zap

我想使用zap扫描需要Authentication头的rest API端点。

要指定标题,我必须右键单击历史记录选项卡中的请求并添加标题,但是没有标题的请求甚至不会记录在历史记录选项卡中。如何指定请求标头?

enter image description here

2 个答案:

答案 0 :(得分:1)

您可能希望查看此博文:https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html

基本上,您可以通过配置参数指定新标头,例如:

  -config replacer.full_list\(0\).description=auth1 \
  -config replacer.full_list\(0\).enabled=true \
  -config replacer.full_list\(0\).matchtype=REQ_HEADER \
  -config replacer.full_list\(0\).matchstr=Authorization \
  -config replacer.full_list\(0\).regex=false \
  -config replacer.full_list\(0\).replacement=123456789 \
  -config replacer.full_list\(1\).description=auth2 \
  -config replacer.full_list\(1\).enabled=true \
  -config replacer.full_list\(1\).matchtype=REQ_HEADER \
  -config replacer.full_list\(1\).matchstr=AnotherHeader \
  -config replacer.full_list\(1\).regex=false \
  -config replacer.full_list\(1\).replacement=abcdefghi

将导致以下标头添加到ZAP所做的每个请求中:

  Authorization: 123456789
  AnotherHeader: abcdefghi

您可以使用递增索引指定所需数量的标头。

答案 1 :(得分:0)

第1步:

Open/Resend with Request Editor

步骤2:编辑请求并重播请求。

Edit the request