OWASP ZAP中的基本授权

Question

我需要通过OWASP ZAP工具攻击端点（获得2.5.0版本）。我通过Postman测试了端点。我有类型授权：基本认证，用户名：exampleUserName，密码：examplePass。

请你给我一些提示，如何在OWASP ZAP中设置Basic Auth？

我为我的上下文设置了用户。需要什么esle？

实测溶液：

1）控制面板 - > Internet选项 - >连接 - >局域网设置 - >检查 “使用代理对等” - >单击OK

2）通过邮递员发送查询请求使用基本验证

3）的终点是可见的OWASP ZAP工具，在网站部分

4）在端点点击右键，选择阿塔克行动

Answer 1

我们在这里复制以供参考而已:) https://github.com/zaproxy/zaproxy/wiki/FAQformauth

一个常见问题：

通过UI：

1. 探索您的应用程序，同时通过ZAP使用有效的用户名和密码
2. 定义上下文进行代理
3. 登录，例如，通过右键单击在网站选项卡，选择“您的应用程序的顶级节点的语境包括“
4. 发现在网站的‘登录请求’或历史标签
5. 右键单击它并选择‘举报环境’/”基于表单的身份验证登录请求”
6. 检查用户名和密码参数设置正确地 - 他们几乎肯定不会成为！
7. 查找可用于确定用户是否登录或不
8. 高亮显示该字符串的响应串，右击并选择“举报环境” /“登录/退出指示器”的相关 - 您只需要设置其中一个，而不是两个
9. 双击相关的上下文节点并导航到“用户”页面 - 检查用户详细信息是否正确，添加您想要使用的任何其他用户并启用它们全部
10. 导航到上下文“强制用户”页面，并确保您要测试的用户被选中
11. “禁用强制用户模式 ​​- 单击启用”按钮现在应该是ena流血
12. 按下此按钮将导致ZAP重新发送身份验证请求，只要它检测到用户不再登录，即通过使用“登录”或“注销”指示器。

如果“禁用强制用户模式 ​​- 单击启用”按钮未启用，则表示您尚未配置足够的ZAP验证信息 - 请检查您是否执行了上述所有步骤。

如果已经启用强制用户模式，当你访问那么你的应用程序看起来在历史记录选项卡的请求仍然没有登录：

• 如果没有登录请求，那么你有可能不选择一个
  合适的“登录/退出”指标，尝试改变它，并再次尝试
• 如果有那么一个登录请求看一下请求和响应 ，看看你是否能明白为什么登录失败 - 你可能需要到 更改请求甚至发出多个请求

如果您需要提出多个登录请求，那么最好的选择是记录一个Zest身份验证脚本并首先对其进行隔离测试。

该FAQ还详细介绍了如何通过ZAP API设置身份验证。