Zapproxy API的基本授权

时间:2018-06-19 12:41:22

标签: api authentication owasp zap zapproxy

我有这个弯度来调用api:

curl -X POST -u user:password /to/the/end/point

如果我收到zapproxy的请求,我可以发送此请求并进行主动攻击,但是我正在尝试对此python api进行调用。我无法使用基本授权(base64或user:password)进行身份验证。我正在尝试使用gui创建一个上下文并导出,并将其与zap-api-scan.py一起使用,但是它不起作用。

我已经阅读了以下帖子:

https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html

Basic Authorization in OWASP ZAP

https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsAuthentication#httpntlm-authentication

但是我还没有找到解决方法。

请你能帮我吗?

谢谢。

1 个答案:

答案 0 :(得分:-1)

我有这个,但是不起作用,不要导入上下文:

#!/usr/bin/env python

from zapv2 import ZAPv2


target = 'https://target/to/api'

zap = ZAPv2(proxies={'http': 'http://127.0.0.1:8888', 'https': 'http://127.0.0.1:8888'})

zap.context.import_context("/file/context")

print 'Accessing target %s' % target
zap.urlopen(target)
time.sleep(2)

print 'Spidering target %s' % target
scanid = zap.spider.scan(target)

time.sleep(2)

print 'Spider completed'

time.sleep(5)

print 'Scanning target %s' % target
scanid = zap.ascan.scan(target)

print 'Scan completed'
相关问题
最新问题