使用django的OWASP ZAP配置管理登录

Question

问题我无法配置我的OWASP ZAP应用程序登录并扫描需要验证的页面。

我的页面是内置在Django管理页面。

我录的脚本从这个页面的指示如下：https://www.coveros.com/scripting-authenticated-login-within-zap-vulnerability-scanner/

该脚本可以登录

我已经将它设置为基于脚本的认证

登录网址：http://127.0.0.1:8000/admin/ 方法：POST

在指示器的regexp登录：\ Qlogout。\ E 已注销指示器正则表达式：\ Q /管理/。\ E

我不确定是否必须添加用户，但是我添加了它。

会话管理：基于Cookie的

（基于以及HTTP尝试了）当我点击攻击扫描/蜘蛛，扫描的页面只能不需要认证。例如：/管理员/注销/页面未被发现

请让我知道我做错了什么？

感谢

Answer 1

看一看这个FAQ，ESP的诊断问题部分：https://github.com/zaproxy/zaproxy/wiki/FAQformauth#diagnosing-problems

再现那一段是为了完整性：

如果“强制用户模式禁用 - 单击要启用”按钮没有启用，那么你没有配置足够的信息供ZAP进行验证 - 仔细检查你是否执行了上述所有步骤。

如果已经启用强制用户模式，当你访问那么你的应用程序看起来在历史记录选项卡的请求仍然没有登录：

• 如果没有登录请求，那么你有可能不选择一个合适的“登录/注销”指标，尝试改变它并尝试再次尝试
• 如果有一个登录请求，然后看看请求和响应，看看你是否可以计算出登录失败的原因 - 您可能需要更改请求或甚至提出多个请求

如果您需要创建多个登录请求，那么最好的选择是记录一个Zest身份验证脚本并首先对其进行隔离测试。