Configuración de la autenticación ZAP de OWASP

3

Recientemente, he estado trabajando en pruebas de seguridad con OWASP ZAP. Sin embargo, me he topado con un bloqueo de carretera porque no puedo hacer que la araña (ajax) realice pruebas dentro de un área autorizada de la aplicación de una sola página.

He visto las diferentes opciones en las propiedades de la sesión como se describe en la imagen a continuación. Sin embargo, la autorización para mi aplicación de una sola página implica el envío de un nombre de usuario y contraseña codificados en base64 como un valor de encabezado que no parece ser compatible.

Idealmente, necesito poder simplemente especificar los valores del encabezado de la cadena base64, o especificar el nombre de usuario y la contraseña y hacer que el proxy ZAP solo ingrese los campos, los envíe, permita que la aplicación web los codifique y los envíe.

¿Realmente me estaba preguntando si alguien tiene alguna buena sugerencia para sortear esta limitación? Vi la "autenticación basada en secuencias de comandos", pero no pude importar una secuencia de comandos para ella, y no estaba muy seguro de cómo funcionaría.

    
pregunta Josh Mc 24.11.2015 - 23:32
fuente

1 respuesta

3

Puede utilizar la funcionalidad Zest de ZAP para realizar su autenticación. En la barra de iconos en la parte superior, en el extremo derecho, encontrará un icono de cinta que dice "Grabar nuevo script de Zest ...". Púlselo, elija un nombre y elija "Autenticación" para el menú desplegable "Tipo".

Ahora abra un navegador a través de ZAP y realice manualmente un inicio de sesión en su sitio. Detenga la grabación presionando nuevamente el ícono de la cinta. En ZAP, en el lado izquierdo donde se muestran los sitios escaneados, cambie a la pestaña "Scripts" para encontrar su script. Verá todas las solicitudes grabadas y podrá eliminar cualquier registro que no sea necesario para su autenticación.

En la parte superior derecha, junto a Inicio / Solicitud / Respuesta, debería ver una pestaña de "Scripting Console" en la que encontrará un botón para ejecutar el script grabado.

Si la secuencia de comandos está funcionando, ahora vuelva a la configuración de contexto que capturó en la pantalla y elija Autenticación basada en secuencias de comandos. Podrás seleccionar tu script recoredado. Haga clic en "cargar" y complete los patrones de expresiones regulares.

Ahora a la parte que me ha costado mucho tiempo: tiene que especificar un usuario en la configuración de contexto, aunque no debería ser necesario porque el usuario forma parte de su script. Simplemente escriba lo que desee para el nombre de usuario y la contraseña.

¡Ya terminaste! Comience una araña, elija su contexto y su usuario falso y debería estar funcionando.

    
respondido por el stormpanda 19.03.2018 - 14:46
fuente

Lea otras preguntas en las etiquetas