Ho bisogno di aiuto per configurare OWASP ZAP per eseguire correttamente la scansione del mio sito Web angolare di una pagina con lo spider.
Ho configurato con successo uno zscript che gestirà il login e aggiungerò una sessione HTTP che posso impostare come attiva.
Tuttavia, il mio sito web ha la speciale necessità di aggiungere un auth-token
e auth-id
all'intestazione in aggiunta a JSESSION-ID
. Tuttavia lo spider non lo farà automaticamente, quindi ho bisogno di aiuto per configurarlo correttamente.
L'intestazione che funziona è la seguente:
GET http://localhost:8180/rest/crud/jobDefinition HTTP/1.1
Host: localhost:8180
Proxy-Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: application/json, text/plain, */*
auth-id: 1015
auth-token: 2b84722e-3270-483d-8852-e319b8c12810
Referer: http://localhost:8180/
Accept-Encoding: gzip, deflate, br
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: JSESSIONID=7evOfQDs5F0bXcsmSq0rIM3U6AYQ1-PoD9L4HRb3.FG003.server01; pi_side_menu_size=large; authToken=2b84722e-3270-483d-8852-e319b8c12810
l'unico contenuto di intestazione che il mio spider in ZAP sta inviando è questo:
GET http://localhost:8180/rest/permission/ HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 0
Cookie: JSESSIONID=D1L17-8UQ4CpAeJ4NC40txHP3YPHWG8e6dyep-Js.FG003.server01
Host: localhost:8180
Lo script per l'accesso viene caricato nel contesto della mia sessione e quando avvio lo spider dovrebbe trovare la mia sessione contrassegnata attiva e usarla o eseguire l'accesso tramite lo script.
Il controllo della modalità utente forzato non ha cambiato nulla, inoltre non riesco a trovare la configurazione per consentire al mio spider di utilizzare queste variabili di intestazione.
È persino possibile o posso usare solo una scansione passiva?