在Zed攻击代理中以编程方式设置活动会话

Question

我们正在使用zaproxy api，并试图使用setActiveSession() API调用将会话设置为"active“，这是文档化的这里，并采用两个参数，即site和session。我们遇到的问题是，我们不断地得到错误：

{
  "code": "illegal_parameter",
  "message": "Provided parameter has illegal or unrecognized value",
  "detail": "session"
}

假设我们有来自sessions() API调用的以下会话，

{
  "sessions": [
    {
      "session": [
        "Session 1",
        {
          "JSESSIONID": {
            "comment": "",
            "domain": "localhost",
            "domainAttributeSpecified": false,
            "expired": false,
            "expiryDate": null,
            "name": "JSESSIONID",
            "path": "/",
            "pathAttributeSpecified": false,
            "persistent": false,
            "secure": false,
            "value": "941A60311B3C63C69C5887F531E7090A",
            "version": 0
          }
        },
        "16"
      ]
    }
  ]
}

为了使这个API调用成功，我们需要在session字段中发送什么值？我们在value数组中尝试了“复杂”JSESSIONID对象中的JSESSIONID字段，以及名称"Session 1“和"16”(假设它是某种类型的id )。它们都返回相同的错误。

编辑我刚刚看到zap正在将以下内容登录到终端中，当我们进行这些调用时：

1055328 [ZAP-ProxyThread-106] WARN org.zaproxy.zap.extension.api.API  - ApiException while handling API request:
Provided parameter has illegal or unrecognized value (illegal_parameter) : session
    at org.zaproxy.zap.extension.httpsessions.HttpSessionsAPI.handleApiAction(Unknown Source)
    at org.zaproxy.zap.extension.api.API.handleApiRequest(Unknown Source)
    at org.parosproxy.paros.core.proxy.ProxyThread.processHttp(Unknown Source)
    at org.parosproxy.paros.core.proxy.ProxyThread.run(Unknown Source)
    at java.lang.Thread.run(Thread.java:748)

Answer 1

在API-Browser中进行了更多的尝试和错误之后，我们发现正确的值确实是“会话1"，但是我们用引号(即"Session 1" )发送名称，但是发送它的正确方式是没有它们的，即Session 1。