web-dev-qa-db-fra.com

Ajout de l'authentification dans l'outil ZAP pour attaquer une URL

Comment transmettre les détails d'authentification à l'outil ZAP pour analyser le site Web. S'il vous plaît, aidez-moi à résoudre le problème.

23
user2323844

Assez vieille question mais ça y va.

La façon la plus simple de le faire est de configurer votre navigateur sur Proxy via ZAP. Sur Firefox, vous pouvez accéder à:

Options -> Avancé -> Réseau -> Paramètres.

Sélectionnez Configuration manuelle du proxy et remplissez l'hôte HTTP avec l'adresse de la machine exécutant ZAP (très probablement localhost) et le port ZAP configuré.

Vous pouvez vérifier et configurer le port ZAP en ouvrant ZAP et en accédant à:

Outils -> Options -> Proxy local.

Ouvrez ensuite votre navigateur Web et connectez-vous à votre application. Allez maintenant dans ZAP, dans l'onglet Sites (côté gauche de ZAP), sélectionnez votre site, faites un clic droit dessus et sélectionnez:

Inclure dans le contexte -> Contexte par défaut

Maintenant, ouvrez l'onglet Sessions HTTP, faites un clic droit sur la session et "Définir comme actif". (Onglet Sessions HTTP: Affichage -> Onglet Afficher -> Sessions HTTP)

Vous pouvez maintenant effectuer ZAP Spider, Active Scan et ainsi avec une session connectée. Si ce n'est pas votre scénario, veuillez fournir plus d'informations sur la méthode d'authentification utilisée par votre application.

J'espère que cela vous aidera, vous ou quelqu'un à la recherche de questions similaires. Merci,

34
fabioresner

Ancienne question, ancienne réponse, mais voici un bon tutoriel par l'un des principaux développeurs d'OWASP ZAP: https://www.youtube.com/watch?v=cR4gw-cPZOA

Réponse rapide: cela dépend de la méthode utilisée pour l'authentification. Vous pouvez définir les options dans les propriétés de la session dans le menu "Authentification" et vous pouvez également définir différents utilisateurs dans le menu "Utilisateurs".

4
jonasheinisch