Necesito ayuda con la configuración de OWASP ZAP para rastrear correctamente mi sitio web Angular de una página con la araña.
Configuré con éxito un zscript que manejará el inicio de sesión y agregará una sesión HTTP que puedo configurar como activa.
Sin embargo, mi sitio web tiene una necesidad especial de agregar auth-token y auth-id al encabezado, además del JSESSION-ID . Sin embargo, la araña no lo hará automáticamente, así que necesito ayuda para configurarlo correctamente.
El encabezado que funciona tiene este aspecto:
GET http://localhost:8180/rest/crud/jobDefinition HTTP/1.1
Host: localhost:8180
Proxy-Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: application/json, text/plain, */*
auth-id: 1015
auth-token: 2b84722e-3270-483d-8852-e319b8c12810
Referer: http://localhost:8180/
Accept-Encoding: gzip, deflate, br
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: JSESSIONID=7evOfQDs5F0bXcsmSq0rIM3U6AYQ1-PoD9L4HRb3.FG003.server01; pi_side_menu_size=large; authToken=2b84722e-3270-483d-8852-e319b8c12810
el único contenido de encabezado que está enviando mi araña en ZAP es este:
GET http://localhost:8180/rest/permission/ HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 0
Cookie: JSESSIONID=D1L17-8UQ4CpAeJ4NC40txHP3YPHWG8e6dyep-Js.FG003.server01
Host: localhost:8180
La secuencia de comandos para iniciar sesión se carga en el contexto de mi sesión y cuando inicie la araña, debería encontrar mi sesión marcada activa y usar esa o realizar la conexión a través de la secuencia.
La verificación del modo de usuario forzado no cambió nada, tampoco puedo encontrar la configuración para permitir que mi araña use estas variables de encabezado.
¿Es posible o solo puedo usar un escaneo pasivo?