OWASP ZAP: come utilizzare l'autenticazione del certificato client TLS?

Naviga le tue risposte
1

C'è un modo per ottenere OWASP ZAP per inviare un certificato client?

Ho un sito Web HTTPS che riceve i certificati client per l'autenticazione. Ho i certificati installati nel browser. Precedentemente, quando sono andato al sito web (in Firefox), mi sarebbe stato richiesto di selezionare uno dei certificati installati. Verrei quindi autenticato con il sito web come utente associato al certificato.

Tuttavia, dopo aver configurato il browser per utilizzare un proxy, non viene più richiesto di selezionare un certificato e quindi il browser visualizza solo questo messaggio: 

"400 Bad Request
No required SSL certificate was sent
nginx/1.10.2"

Sembra che ho bisogno di ottenere OWASP ZAP per inviare il certificato al posto del browser o, in qualche modo, ottenere il browser per forzare ZAP a inoltrare il certificato. C'è un modo per me di farlo? È qualcosa che supporta ZAP?

Modifica: Il mio setup funziona così: ci sono tre componenti. Firefox, OWASP ZAP e un progetto Selenium. Precedente, era solo Selenium e Firefox. L'applicazione che sto testando ha più utenti con ruoli diversi. I casi di test del selenio implicano l'accesso come un unico utente, l'esecuzione di un'attività come quell'utente (che genera lavoro per un altro utente), l'accesso come utente successivo, l'esecuzione del lavoro come tale utente ecc. Ogni utente ha il proprio certificato per accedere.

In precedenza, ho creato più profili di Firefox (uno per ogni utente) e aggiunto un singolo certificato per ciascun profilo. Quando ho effettuato l'accesso al sito con uno di questi profili, il browser ha impostato automaticamente il singolo certificato. Il selenio potrebbe quindi passare da un utente all'altro chiudendo il browser precedente e aprendo uno nuovo con il profilo corretto.

In questo momento, utilizzo ZAP aprendo il profilo del browser appropriato, impostando il proxy su localhost: 8080, avviando la GUI ZAP e quindi eseguendo il test Selenium che utilizza il profilo sopra menzionato. Ultimi I impostare manualmente i contesti, eseguire lo spider e passare alla modalità di attacco. Finora, sono stato aiutato a far sì che ZAP utilizzasse un singolo certificato alla volta, il che è stato un cambiamento significativo.

    
posta harrys 17.08.2018 - 16:24
fonte

1 risposta

2

Dovresti essere in grado di aggiungere tutti i certificati che devi utilizzare tramite la schermata Opzioni / Certificato ZAP ( link ).

    
risposta data 17.08.2018 - 17:01
fonte

Leggi altre domande sui tag

Invio push automatico (su repository bitbucket) Google contrassegna tutti i sottodomini per malware / phishing se uno è infetto?