OWASP ZAP 中的基本授權

Question

我需要通過 OWASP ZAP 工具（獲得 2.5.0 版本）攻擊端點。 我通過 Postman 測試了端點。 我有類型的授權：基本身份驗證，用戶名：exampleUserName，密碼：examplePass。

請你給我任何提示，如何在 OWASP ZAP 中設置基本身份驗證？

我為我的上下文設置了用戶。 需要什么esle？

找到解決方案：

1) 控制面板 -> Internet 選項 -> 連接 -> 局域網設置 -> 勾選“為等使用代理”。 -> 點擊確定

2）使用基本身份驗證通過郵遞員發送請求

3) 端點在 OWASP ZAP 工具中可見，在站點部分

4) 右擊端點，選擇 Atack action

Answer 1

我們有一個常見問題解答 :) ZAP 如何通過表單自動進行身份驗證？

復制到這里供參考：

通過用戶界面：

1. 通過 ZAP 代理時探索您的應用程序
2. 使用有效的用戶名和密碼登錄
3. 定義上下文，例如通過在站點選項卡中右鍵單擊應用程序的頂部節點並選擇“包含在上下文中”
4. 在“站點”或“歷史記錄”選項卡中找到“登錄請求”
5. 右鍵單擊它並選擇“標記為上下文”/“基於表單的身份驗證登錄請求”
6. 檢查用戶名和密碼參數是否設置正確 - 它們幾乎肯定不會！
7. 在響應中查找可用於確定用戶是否已登錄的字符串
8. 突出顯示此字符串，右鍵單擊並選擇“標記為上下文”/“登錄/注銷指示器”作為相關 - 您只需要設置其中之一，而不是兩者
9. 雙擊相關的上下文節點並導航到“用戶”頁面 - 檢查用戶詳細信息是否正確，添加您要使用的任何其他用戶並啟用它們
10. 導航到上下文“強制用戶”頁面並確保選擇了要測試的用戶
11. 現在應該啟用“強制用戶模式禁用 - 單擊以啟用”按鈕
12. 按下此按鈕將導致 ZAP 在檢測到用戶不再登錄時重新發送驗證請求，即通過使用“登錄”或“注銷”指示符。

如果“強制用戶模式已禁用 - 單擊以啟用”按鈕未啟用，則說明您沒有為 ZAP 配置足夠的信息進行身份驗證 - 仔細檢查您是否已執行上述所有步驟。

如果您已啟用“強制用戶模式”但在訪問應用程序時仍未登錄，請查看“歷史記錄”選項卡中的請求：

• 如果沒有登錄請求，那么您可能沒有選擇
  合適的“登錄/退出”指示器，嘗試更改它並重試
• 如果有登錄請求，則查看請求和響應，看看您是否可以找出登錄失敗的原因——您可能需要更改請求甚至發出多個請求

如果您需要發出多個登錄請求，那么最好的選擇是記錄一個 Zest 身份驗證腳本並首先對其進行隔離測試。

FAQ 還詳細說明了如何通過 ZAP API 設置身份驗證。