Recientemente, he estado trabajando en pruebas de seguridad con OWASP ZAP. Sin embargo, me he topado con un bloqueo de carretera porque no puedo hacer que la araña (ajax) realice pruebas dentro de un área autorizada de la aplicación de una sola página.
He visto las diferentes opciones en las propiedades de la sesión como se describe en la imagen a continuación. Sin embargo, la autorización para mi aplicación de una sola página implica el envío de un nombre de usuario y contraseña codificados en base64 como un valor de encabezado que no parece ser compatible.
Idealmente, necesito poder simplemente especificar los valores del encabezado de la cadena base64, o especificar el nombre de usuario y la contraseña y hacer que el proxy ZAP solo ingrese los campos, los envíe, permita que la aplicación web los codifique y los envíe.
¿Realmente me estaba preguntando si alguien tiene alguna buena sugerencia para sortear esta limitación? Vi la "autenticación basada en secuencias de comandos", pero no pude importar una secuencia de comandos para ella, y no estaba muy seguro de cómo funcionaría.