web-dev-qa-db-ja.com

カスタムヘッダーを使用するOWASP ZAPティーチングスパイダー

ワンページAngular Webサイトをクモで正しくクロールするようにOWASP ZAPを設定するのにいくつかの助けが必要です。

ログインを処理し、アクティブとして設定できるHTTPセッションを追加するzscriptを正常に設定しました。

ただし、私のウェブサイトにはauth-tokenおよびauth-idヘッダーに追加でJSESSION-ID。ただし、スパイダーはそれを自動的に実行しないので、正しく設定するために助けが必要です。

機能するヘッダーは次のようになります。

GET http://localhost:8180/rest/crud/jobDefinition HTTP/1.1
Host: localhost:8180
Proxy-Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: application/json, text/plain, */*
auth-id: 1015
auth-token: 2b84722e-3270-483d-8852-e319b8c12810
Referer: http://localhost:8180/
Accept-Encoding: gzip, deflate, br
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: JSESSIONID=7evOfQDs5F0bXcsmSq0rIM3U6AYQ1-PoD9L4HRb3.FG003.server01; pi_side_menu_size=large; authToken=2b84722e-3270-483d-8852-e319b8c12810

zAPのスパイダーが送信している唯一のヘッダーコンテンツは次のとおりです。

GET http://localhost:8180/rest/permission/ HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 0
Cookie: JSESSIONID=D1L17-8UQ4CpAeJ4NC40txHP3YPHWG8e6dyep-Js.FG003.server01
Host: localhost:8180

ログインするスクリプトはセッションコンテキストに読み込まれ、スパイダーを開始すると、アクティブなマークされたセッションを見つけてそれを使用するか、スクリプトを介してログインを実行する必要があります。

強制ユーザーモードをチェックしても何も変更されませんでした。また、スパイダーがこれらのヘッダー変数を使用できるように構成を見つけることができませんでした。

それは可能ですか、それともパッシブスキャンのみを使用できますか?

2
Nico

認証されたスキャンはトリッキーな獣です。これらは機能しますが、セットアップが難しい場合があります。 FAQこれはフォームベースの認証について説明しています: https://github.com/zaproxy/zaproxy/wiki/FAQformauth -それはまだ他のフォームに関連していますauth、esp、トラブルシューティングセクション。

Replacerアドオンを使用してヘッダーを直接挿入することもできます。

2
Simon Bennetts