OWASP ZAP spider didattico per utilizzare intestazione personalizzata

2

Ho bisogno di aiuto per configurare OWASP ZAP per eseguire correttamente la scansione del mio sito Web angolare di una pagina con lo spider.

Ho configurato con successo uno zscript che gestirà il login e aggiungerò una sessione HTTP che posso impostare come attiva.

Tuttavia, il mio sito web ha la speciale necessità di aggiungere un auth-token e auth-id all'intestazione in aggiunta a JSESSION-ID . Tuttavia lo spider non lo farà automaticamente, quindi ho bisogno di aiuto per configurarlo correttamente.

L'intestazione che funziona è la seguente:

GET http://localhost:8180/rest/crud/jobDefinition HTTP/1.1
Host: localhost:8180
Proxy-Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: application/json, text/plain, */*
auth-id: 1015
auth-token: 2b84722e-3270-483d-8852-e319b8c12810
Referer: http://localhost:8180/
Accept-Encoding: gzip, deflate, br
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: JSESSIONID=7evOfQDs5F0bXcsmSq0rIM3U6AYQ1-PoD9L4HRb3.FG003.server01; pi_side_menu_size=large; authToken=2b84722e-3270-483d-8852-e319b8c12810

l'unico contenuto di intestazione che il mio spider in ZAP sta inviando è questo:

GET http://localhost:8180/rest/permission/ HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 0
Cookie: JSESSIONID=D1L17-8UQ4CpAeJ4NC40txHP3YPHWG8e6dyep-Js.FG003.server01
Host: localhost:8180

Lo script per l'accesso viene caricato nel contesto della mia sessione e quando avvio lo spider dovrebbe trovare la mia sessione contrassegnata attiva e usarla o eseguire l'accesso tramite lo script.

Il controllo della modalità utente forzato non ha cambiato nulla, inoltre non riesco a trovare la configurazione per consentire al mio spider di utilizzare queste variabili di intestazione.

È persino possibile o posso usare solo una scansione passiva?

    
posta Nico 12.01.2018 - 13:39
fonte

1 risposta

2

Le scansioni autenticate sono bestie difficili. Funzionano, ma può essere difficile da configurare. Abbiamo una FAQ che spiega l'autenticazione basata su form: link - è ancora pertinente ad altre forme di autenticazione, esp il sezione risoluzione problemi.

Puoi anche iniettare le intestazioni direttamente usando il componente aggiuntivo Replacer.

    
risposta data 17.01.2018 - 17:32
fonte

Leggi altre domande sui tag