Добрый день уважаемое сообщество,
У меня проблема со сканером owasp zap. Сводка: сценарий аутентификации не выполняется перед запуском активного сканирования или сканирования.
Здесь более подробная информация: Для проверки подлинности контекста используется метод проверки подлинности на основе сценария: session.png
Для аутентификации скрипт содержит 4 вызова API, все они зависят друг от друга. auth_script.png
Итак, в основном zap нужно выполнить этот скрипт (все четыре вызова API), получить файлы cookie и использовать их для дальнейшего активного сканирования. Единственный способ сделать это - запустить сценарий, содержащий 4 вызова API для аутентификации, ИЛИ запустить сценарий selenium, который будет делать то же самое, но на стороне пользовательского интерфейса. На данный момент я пробую использовать скриптовый подход (который выглядит проще).
Но когда я запускаю активное сканирование, owasp zap не запускает скрипт, а просто запускает атаку на URL-адреса из «Сайтов». active_scan.png
Может ли кто-нибудь прояснить, почему это происходит и как настроить контекст / приложение / и т. Д. Для запуска сценария аутентификации перед запуском самого сканирования?
До этого сервер возвращает 403 для всех запросов, потому что все они не аутентифицированы.
Я надеюсь, что кто-то может мне помочь, я уже много времени трачу на то, чтобы разобраться, но все еще не могу найти решение ..
Копия этого вопроса также здесь: https://groups.google.com/forum/#!topic/zaproxy-users/Fs9EoasHycI
