Impostazione dell'autenticazione ZAP OWASP

3

Quindi recentemente ho lavorato ai test di sicurezza con OWASP ZAP. Tuttavia ho colpito un blocco stradale nel senso che non riesco a far provare lo spider (ajax) all'interno di un'area autorizzata dell'applicazione singola pagina.

Ho esaminato le diverse opzioni nelle proprietà di sessione come descritto nell'immagine seguente. Tuttavia, l'autorizzazione alla mia applicazione a pagina singola comporta l'invio di un nome utente e password codificati in base 64 come valore di intestazione che non sembra essere supportato.

Idealmente ho bisogno di essere in grado di specificare da solo i valori dell'intestazione base64 stringa, o specificare nome utente e password e fare in modo che il proxy ZAP inserisca semplicemente i campi e li invii e lasci che l'applicazione web li codifichi e li invii.

Mi stavo davvero chiedendo se qualcuno ha qualche buon suggerimento per aggirare questa limitazione? Ho visto la "Script-based Authentation", ma non sono riuscito a importare uno script per questo, e non ero sicuro di come avrebbe funzionato?

    
posta Josh Mc 24.11.2015 - 23:32
fonte

1 risposta

3

Puoi utilizzare la funzionalità Zest di ZAP per eseguire l'autenticazione. Nella barra delle icone in alto, all'estrema destra troverai un'icona del nastro che recita "Registra il nuovo script di Zest ...". Colpiscilo, scegli un nome e scegli "Autenticazione" per il menu a discesa "Tipo".

Ora apri un browser tramite ZAP e esegui manualmente un accesso al tuo sito. Interrompe la registrazione colpendo di nuovo l'icona del nastro. In ZAP, sul lato sinistro in cui sono visualizzati i siti scansionati, passa alla scheda "Script" per trovare il tuo script. Vedrai tutte le richieste registrate e potrai continuare a cancellare tutti i record che non sono necessari per la tua autenticazione.

In alto a destra, accanto a Avvio rapido / Richiesta / Risposta dovresti vedere una scheda "Console di scripting" in cui troverai un pulsante per eseguire lo script registrato.

Se lo script funziona, ora torna alle impostazioni di contesto che hai scansionato nell'OP e scegli Autenticazione basata su script. Sarai in grado di selezionare il tuo script ripetuto. Premi "carica" e riempi i modelli regex.

Ora per la parte che mi è costata un sacco di tempo: devi specificare un utente nelle impostazioni di contesto anche se non dovrebbe essere necessario perché l'utente fa parte del tuo script. Digita semplicemente quello che vuoi per nome utente e password.

Ora hai finito! Avvia un ragno, scegli il tuo contesto e il tuo falso utente e dovrebbe funzionare.

    
risposta data 19.03.2018 - 14:46
fonte

Leggi altre domande sui tag