Attualmente sto lavorando per provare un'applicazione Angular 6 usando OWASP ZAP. Mi piace molto questo strumento, ma come molti di noi, faccio fatica con la parte di autenticazione, e senza di essa l'intero strumento si trasforma in un hamburger di niente.
Il percorso di accesso è accessibile sul mio localhost a /login e il mio endpoint API https://api.example.com/auth accetta solo XML non elaborato come:
<EngineDocList>
<DocVersion>1.0</DocVersion>
<EngineDoc>
...
<User>
<Username>testuser</Username>
<Password>test</Password>
<CustomField DataType="S32">blablabla</CustomField>
</User>
...
</EngineDoc>
</EngineDocList>
Ricevo un token in risposta, ma l'API richiede che venga inviato nel corpo come campo di ogni richiesta anziché come intestazione Authorization.
Inoltre, l'esecuzione dello spider non mi consente di accedere manualmente e non posso fornire alcuna stringa per sapere se sono connesso o disconnesso come la mia Angular < strong> non è reso server .