JSON请求未使用zap身份验证进行配置。

时间:2018-05-01 06:47:38

标签: owasp zap

我正在使用ZAP安全测试工具。但在使用JSON请求的用户名和密码进行身份验证时,我遇到了配置这些问题的问题。我也检查了所有链接和博客。但我无法逐步解决问题。 请求代码: -

{"userName":"cwc_patna","password":"33a0d2e93e0ad396b7c9374bbbc83a58"}

回复代码: -

{"userId":72,"userName":"cwc_patna","password":"33a0d2e93e0ad396b7c9374bbbc83a58","emilId":"pratyush@sdrc.co.in","userTypeId":1,"viewName":"cwc","isLive":null,"isActive":null,"isApproved":null,"sjpuAccess":null,"userUserTypeFeaturePermissionMapping":null,"area":null}

1 个答案:

答案 0 :(得分:0)

上周刚刚添加了该功能:https://github.com/zaproxy/zaproxy/pull/4624

如果您想使用它,则必须使用每周一次:https://github.com/zaproxy/zaproxy/wiki/Downloads#zap-weekly

或者,等待下一个完整版本(可能是2.8.0)。

更新新JSON身份验证功能的帮助内容的相应PR位于:https://github.com/zaproxy/zap-core-help/pull/188/files,如果要查看它。

您的设置方式与基于表单的身份验证相同。确保定义了Logged-in或Logged-out Identifier(或两者)。这里有一些屏幕截图可以帮助您:

为您的上下文手动配置身份验证: Context Authentication Settings

使用“站点树上下文”菜单进行设置: Flag a JSON request as the Context's "Login Request"

Select the associated username and password fields

以下是可帮助您进行身份验证设置的其他帮助链接:https://github.com/zaproxy/zaproxy/wiki/FAQformauth