Ошибка аутентификации Zed Attack Proxy (401) — режим демона

У меня есть локальный веб-сайт, размещенный на IIS, и я пытаюсь сканировать свое приложение с помощью инструмента ZAP, выполняемого в режиме демона. Все работает нормально, пока я не отключу метод «Анонимная аутентификация» из IIS, и единственным включенным методом является «Базовая аутентификация». Я получаю сообщение об ошибке: «Не удалось атаковать URL-адрес: получен код ответа 401».

Есть ли возможность отправить учетные данные для входа из режима демона?

Команда выглядит так: zap.bat -quickurl "urlToTest" -quickprogress -daemon -cmd.


authentication owasp zap
person Epy Catalin    schedule 27.04.2016    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Параметр -cmd переводит ZAP в режим командной строки / встроенный режим. Используйте режим -daemon, чтобы перевести ZAP в режим демона, после чего вам потребуется использовать ZAP API для взаимодействия с ним. Для обработки аутентификации вам нужно будет добавить свое приложение в контекст, а затем указать аутентификацию. У нас есть FAQ по аутентификации на основе форм: https://github.com/zaproxy/zaproxy/wiki/FAQformauth Вам нужно будет сделать что-то подобное, но указать «Аутентификация HTTP/NTLM»: https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsAuthentication Я бы рекомендовал сначала протестировать это с помощью пользовательского интерфейса ZAP - вы также можете экспортировать в Context для повторного использования в режиме демона. . При возникновении любых проблем лучше всего обратиться в группу пользователей ZAP: http://groups.google.com/group/zaproxy-users

Саймон (руководитель проекта ZAP)

person Simon Bennetts    schedule 27.04.2016
comment
Спасибо, Саймон. Мне удалось отсканировать свое приложение, экспортировав контекст из пользовательского интерфейса ZAP, а затем просканировав через API. - person Epy Catalin; 03.05.2016