Question

我想使用zap扫描需要Authentication头的rest API端点。

要指定标题，我必须右键单击历史记录选项卡中的请求并添加标题，但是没有标题的请求甚至不会记录在历史记录选项卡中。如何指定请求标头？

Answer 1

您可能希望查看此博文：https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html

基本上，您可以通过配置参数指定新标头，例如：

  -config replacer.full_list\(0\).description=auth1 \
  -config replacer.full_list\(0\).enabled=true \
  -config replacer.full_list\(0\).matchtype=REQ_HEADER \
  -config replacer.full_list\(0\).matchstr=Authorization \
  -config replacer.full_list\(0\).regex=false \
  -config replacer.full_list\(0\).replacement=123456789 \
  -config replacer.full_list\(1\).description=auth2 \
  -config replacer.full_list\(1\).enabled=true \
  -config replacer.full_list\(1\).matchtype=REQ_HEADER \
  -config replacer.full_list\(1\).matchstr=AnotherHeader \
  -config replacer.full_list\(1\).regex=false \
  -config replacer.full_list\(1\).replacement=abcdefghi

将导致以下标头添加到ZAP所做的每个请求中：

  Authorization: 123456789
  AnotherHeader: abcdefghi

您可以使用递增索引指定所需数量的标头。

Answer 2

第1步：

步骤2：编辑请求并重播请求。

zaproxy - 带有请求标头的API扫描

2 个答案: