使用API调用的ZAP身份验证

Question

我使用ZAP调用来使用命令行测试站点。但是，即使我遵循正确的步骤，用户身份验证也有问题。但是，当蜘蛛作为用户时，我仍然无法通过登录页面。下面是我所遵循的步骤。

1.在上下文中包括(上下文/包容性上下文)

2.将身份验证方法更改为formBased。(身份验证/setAutenticationMethod)这里我只传递contextID、authMethodName，在authMethodConfigParams中只传递logiunUrl。不是loginrequestData。我试着把authMethodConfigParams当作

loginUrl=**********************&loginRequestData=username={%username%}&password={%password%}

但是当我使用这个的时候，这个领域不会被填满。

3.设置登录指示符(身份验证/setLoggedInIndicator)

4.启用自动重新身份验证(auth/autoReauthON)

5.增加一个新用户(用户/nweUser)

6.为用户设置凭据(用户/setAuthenticationCred纲)

7.启用用户(用户/setUserEnabled)

8.天基信息系统作为新用户(蜘蛛/扫描用户)

但是在爬行过程中，它无法在页面中传递日志。当我打开UI应用程序时，所有API调用都已工作，所有设置都已在会话属性上配置。但是，当我检查邮件请求时，如下所示。

username=ZAP&password=ZAP&rememberMe=true

我想这就是问题所在。为什么不使用新用户的凭据？

提前感谢

Answer 1

我问题的问题是，我过去通过authMethodConfigParams的方式是错误的。预计authMethodConfigParams将是"x-www- form -urlencoded“，而不是以正常形式出现。因此，我使用http://www.url-encode-decode.com/来转换我的authMethodConfigParams并在API上传递它。另外，在传递scanAsUser时，我必须传递“x form-urlencoded”格式。所以这是我的解决方案

Answer 2

我使用此命令及其工作/

docker run --rm -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-baseline.py -t http://example.com/ -g gen.conf -r testreport.html authMethodName : formBasedAuthentication authMethodConfigParams :loginUrl=http://example.com/admin/login/?next=/admin/&csrfmiddlewaretoken=VA3M5L1y6ieXjb1e9AqRzBdqbgY4afrL&username=admin@admin.com&password=admin&next=/admin/