如何使用OWASP ZAP基线扫描进行身份验证

Question

我试图在使用身份验证的网站上使用OWASP运行基线扫描。它使用基于JSON的身份验证。但是当我运行它时，我从结果中看到它没有登录。

我是这样运作的：

docker run -v C:/ZAP/:/zap/wrk owasp/zap2docker-weekly zap-baseline.py -t https://myaddress.com -n somecontext.context -z "-config forcedUser.setForcedUserModeEnabled=true"

这是我做的手工测试。

1. 在GUI模式下运行ZAP
2. 导入上下文
3. 单击按钮打开“强制用户模式”
4. 运行的自动扫描。它起作用了，所以我假设上下文是可以的

码头安装(-v)似乎也不错。当我添加-r report.xml时，我可以在zap完成后在C:/ZAP/中看到报告。

Answer 1

基线扫描与描述的有限特性基线完全相同：https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan

ICTU对支持auth：https://github.com/ICTU/zap-baseline的基线扫描进行了第三方修改