问题描述
我目前正在尝试使用 Owasp ZAP 扫描我们的 Web 应用程序,但我遇到了一个似乎无法解决的问题。
问题是,为了扫描我需要登录的应用程序,我遵循了多个在线教程和文档,并尝试执行以下操作:
- 为应用入口点(第一个
GET
请求)创建一般上下文 - 将基于表单的身份验证(
POST
请求)标记为Default Context : Form-based Auth Login Request
- 在浏览器中打开网址
然而,ZAP 发送 GET
请求而不是 POST
请求,因此我们的应用程序返回 405 Method Not Allowed
作为身份验证必须使用 POST
请求而不是使用的 {{1} } 请求。
如何创建上下文以向应用程序而不是 GET
发送 POST
身份验证请求?
我正在尝试解决这个问题,以便稍后通过使用带有 GET
标志的 Docker 中的 weekly-image
定期扫描我们的 Web 应用程序来实现自动化。
你能建议如何做到这一点吗?
谢谢
解决方法
ZAP 绝对支持通过 POST 请求进行身份验证。如果没有配置的完整详细信息,很难判断您做错了什么。如果您还没有使用桌面进行设置,那么请这样做 - 更容易了解发生了什么。
查看此常见问题解答:https://www.zaproxy.org/faq/how-can-zap-automatically-authenticate-via-forms/ 尤其是诊断问题部分。
如果您仍有问题,请在 ZAP 用户组中提问:https://groups.google.com/g/zaproxy-users/