包括 docker OWASP ZAP 容器的 Keycloak 身份验证
[英]Including Keycloak authentication for docker OWASP ZAP container
问题描述
我正在开发一个解决方案,该解决方案涉及运行owasp/zap2docker-stable映像,以便完全扫描实现Keycloak以进行身份验证和用户管理的 Web 应用程序。
如果我理解正确,我需要包含一个上下文文件,其中包含身份验证详细信息,例如用户/密码、登录表单目标 URL,并假设在执行docker run时身份验证方法是基于表单的。 如果我没有弄错并且正确地遵循了网络上的信息,那么似乎应该从 ZAP UI 应用程序创建和导出此上下文文件。
我的问题如下:
- 是否确认 Keycloak 使用基于表单的身份验证?
- 我是否正确理解必须创建、导出上下文文件并将其提供给 docker run 命令才能发生这种情况?
- 在创建上下文文件时,是否有任何需要注意的特定步骤?
- 我如何确认登录过程成功发生?
1 个解决方案
解决方案1
0 2021-11-05 09:24:29
不知道 Keycloak,但您对 ZAP 上下文文件是正确的。 尽管如果您可以使用标头对您的应用程序进行身份验证,那么您只需通过 env var 进行设置即可。
ZAP 维护统计信息 - 请参阅https://www.zaproxy.org/docs/internal-statistics/并在密钥中搜索“auth”。 您可以通过扫描挂钩来测试这些https://www.zaproxy.org/docs/docker/scan-hooks/
或者,您可以等到自动化框架完全支持身份验证 - 希望很快就会实现,但没有预计到达时间。 在任何情况下,您仍然需要先在 ZAP 桌面中设置和测试身份验证。
在docker环境中通过OWASP zap扫描Rest API
[英]Scanning Rest API's through OWASP zap inside a docker environment
如何在 docker ZAP OWASP zap-full-scan 的每个 http 请求中添加参数
[英]How to add a parameter in every http request in docker ZAP OWASP zap-full-scan
Owasp ZAP在活动扫描期间未使用“基于表单的身份验证” ON python项目执行身份验证
[英]Owasp ZAP not performing authentication during active scan using “Form-Based-Authentication” ON python project
运行主动扫描时,OWASP ZAP docker 返回“连接被拒绝”
[英]OWASP ZAP docker returns 'Connection refused' when running active-scan
OWASP ZAP 错误:“现在有太多活动连接”[Docker Image]
[英]OWASP ZAP Error : “Too many active connections right now” [Docker Image]
未通过 ZAP API Scan docker image 进行身份验证
[英]Authentication not happening through ZAP API Scan docker image
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Owasp zap 中基于标头的身份验证
是否有适用于 windows 平台的 OWASP ZAP docker 图像?
在docker环境中通过OWASP zap扫描Rest API
如何在 docker ZAP OWASP zap-full-scan 的每个 http 请求中添加参数
Keycloak docker 身份验证
Owasp ZAP在活动扫描期间未使用“基于表单的身份验证” ON python项目执行身份验证
运行主动扫描时,OWASP ZAP docker 返回“连接被拒绝”
OWASP ZAP 错误:“现在有太多活动连接”[Docker Image]
keycloak docker容器的内存使用情况
未通过 ZAP API Scan docker image 进行身份验证
相关标签