OWASP中的基本授权

Question

我需要通过OWASP工具攻击端点(got 2.5.0版本)。我通过邮递员测试了端点。我已经获得授权类型: Basic，用户名:exampleUserName，密码: examplePass。

请您给我一些提示，请问如何在OWASP中设置基本的Auth？

我为我的上下文设置了用户。需要什么esle？

找到解决方案：

1)控制面板-> Internet Options -> Connections ->LAN Settings ->检查“使用代理等”->单击OK

2)通过邮递员发送请求。

3)端点可在OWASP工具中的Sites部分中看到。

4)右键单击端点，选择Atack操作

Answer 1

我们有一个常见问题:) ZAP如何通过表单自动进行身份验证？

在此复制以供参考：

通过UI：

1. 当您通过ZAP代理时，请浏览您的应用程序。
2. 使用有效的用户名和密码登录
3. 定义上下文，例如在“站点”选项卡中右键单击应用程序的顶部节点，然后选择“包含在上下文中”。
4. 在“站点”或“历史”选项卡中找到“登录请求”
5. 右击它并选择“标志作为上下文”/“基于表单的Auth Login请求”。
6. 检查用户名和密码参数是否设置正确-它们几乎肯定不会！
7. 在响应中查找可用于确定用户是否登录的字符串。
8. 突出显示此字符串，右键单击并选择“标志作为上下文”/“登录/输出指示符”作为相关项--您只需要设置其中之一，而不是同时设置两者。
9. 双击相关上下文节点并导航到“用户”页面--检查用户详细信息是否正确，添加任何其他想要使用的用户，并启用所有用户。
10. 导航到上下文“强制用户”页面，并确保选择要测试的用户。
11. 现在应该启用“强制用户模式禁用-单击以启用”按钮
12. 当ZAP检测到用户不再登录时，按此按钮将导致ZAP重新发送身份验证请求，即使用“登录”或“注销”指示符。

如果没有启用“强制用户模式禁用-单击以启用”按钮，那么您还没有配置足够的信息让ZAP对您执行上述所有步骤进行身份验证--双重检查。

如果您已启用“强制用户模式”，并且在访问应用程序时仍未登录，则请查看“历史记录”选项卡中的请求：

• 如果没有登录请求，那么您可能没有选择 适当的“登录/退出”指示器，试着更改它，然后再试一次
• 如果有登录请求，那么查看请求和响应，看看是否可以找出登录失败的原因？？您可能需要更改请求，甚至需要发出多个请求。

如果您需要发出多个登录请求，那么最好的选择是记录一个Zest身份验证脚本，并首先测试这个隔离的脚本。

FAQ还详细介绍了如何通过ZAP设置身份验证。