Zed攻击代理身份验证错误(401) - 守护进程模式
问题描述:
我有一个本地网站托管在IIS上,我试图用在守护进程模式下执行的ZAP工具扫描我的应用程序。一切正常,直到我禁用IIS中的“匿名身份验证”方法,并且启用的唯一方法是“基本身份验证”。我得到的错误是“无法攻击URL:收到401响应代码”。Zed攻击代理身份验证错误(401) - 守护进程模式
有没有可能从守护进程模式发送登录凭证?
该命令如下所示:zap.bat -quickurl“urlToTest”-quickprogress -daemon -cmd。
答
-cmd选项使ZAP进入命令行/内联模式。 使用-daemon模式将ZAP置于守护进程模式,此时您需要使用ZAP API与之进行交互。 要处理身份验证,您必须将应用程序添加到上下文,然后指定身份验证。 我们有基于表单身份验证的常见问题解答:https://github.com/zaproxy/zaproxy/wiki/FAQformauth您需要做类似的事情,但需要指定'HTTP/NTLM身份验证':https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsAuthentication 我建议先使用ZAP UI进行测试 - 也可以导出到上下文在守护进程模式下重用。 任何问题,那么它可能是最好的头向ZAP用户组:http://groups.google.com/group/zaproxy-users
西蒙(ZAP项目负责人)
谢谢你,西蒙。我设法通过从ZAP UI导出上下文来扫描我的应用程序,然后通过API进行扫描。 –