OWASP ZAP enseñando a la araña a usar encabezado personalizado

2

Necesito ayuda con la configuración de OWASP ZAP para rastrear correctamente mi sitio web Angular de una página con la araña.

Configuré con éxito un zscript que manejará el inicio de sesión y agregará una sesión HTTP que puedo configurar como activa.

Sin embargo, mi sitio web tiene una necesidad especial de agregar auth-token y auth-id al encabezado, además del JSESSION-ID . Sin embargo, la araña no lo hará automáticamente, así que necesito ayuda para configurarlo correctamente.

El encabezado que funciona tiene este aspecto:

GET http://localhost:8180/rest/crud/jobDefinition HTTP/1.1
Host: localhost:8180
Proxy-Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: application/json, text/plain, */*
auth-id: 1015
auth-token: 2b84722e-3270-483d-8852-e319b8c12810
Referer: http://localhost:8180/
Accept-Encoding: gzip, deflate, br
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: JSESSIONID=7evOfQDs5F0bXcsmSq0rIM3U6AYQ1-PoD9L4HRb3.FG003.server01; pi_side_menu_size=large; authToken=2b84722e-3270-483d-8852-e319b8c12810

el único contenido de encabezado que está enviando mi araña en ZAP es este:

GET http://localhost:8180/rest/permission/ HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 0
Cookie: JSESSIONID=D1L17-8UQ4CpAeJ4NC40txHP3YPHWG8e6dyep-Js.FG003.server01
Host: localhost:8180

La secuencia de comandos para iniciar sesión se carga en el contexto de mi sesión y cuando inicie la araña, debería encontrar mi sesión marcada activa y usar esa o realizar la conexión a través de la secuencia.

La verificación del modo de usuario forzado no cambió nada, tampoco puedo encontrar la configuración para permitir que mi araña use estas variables de encabezado.

¿Es posible o solo puedo usar un escaneo pasivo?

    
pregunta Nico 12.01.2018 - 13:39
fuente

1 respuesta

2

Las exploraciones autenticadas son bestias difíciles. Funcionan, pero pueden ser difíciles de configurar. Tenemos una sección de preguntas frecuentes que explica sobre la autenticación basada en formularios: enlace : sigue siendo relevante para otras formas de autenticación, especialmente sección de resolución de problemas.

También puede inyectar encabezados directamente con el complemento Replacer.

    
respondido por el Simon Bennetts 17.01.2018 - 17:32
fuente

Lea otras preguntas en las etiquetas