我目前正在尝试使用 OWASP ZAP 扫描我们的 Web 应用程序,但我遇到了一个似乎无法解决的问题。
问题是,为了扫描我需要登录的应用程序,我遵循了多个在线教程和文档,并尝试执行以下操作:
GET 请求)创建一般上下文POST 请求)标记为 Default Context : Form-based Auth Login Request然而,ZAP 发送 GET 请求而不是 POST 请求,因此我们的应用程序返回 405 Method Not Allowed 作为身份验证必须使用 POST 请求而不是使用的 {{1} } 请求。
如何创建上下文以向应用程序而不是 GET 发送 POST 身份验证请求?
我正在尝试解决这个问题,以便稍后通过使用带有 GET 标志的 Docker 中的 weekly-image 定期扫描我们的 Web 应用程序来实现自动化。
你能建议如何做到这一点吗?
谢谢
答案 0 :(得分:1)
ZAP 绝对支持通过 POST 请求进行身份验证。如果没有配置的完整详细信息,很难判断您做错了什么。如果您还没有使用桌面进行设置,那么请这样做 - 更容易了解发生了什么。
查看此常见问题解答:https://www.zaproxy.org/faq/how-can-zap-automatically-authenticate-via-forms/ 尤其是诊断问题部分。
如果您仍有问题,请在 ZAP 用户组中提问:https://groups.google.com/g/zaproxy-users/