OWASP ZAP: ¿Cómo usar la autenticación de certificado de cliente TLS?

Navega tus respuestas
1

¿Hay alguna forma de que OWASP ZAP envíe un certificado de cliente?

Tengo un sitio web HTTPS que recibe certificados de cliente para la autenticación. Tengo los certificados instalados en el navegador. Anteriormente, cuando visitaba el sitio web (en Firefox), se me pedía que seleccionara uno de los certificados instalados. Luego me autentificaría con el sitio web como el usuario asociado con el certificado.

Sin embargo, después de configurar el navegador para usar un proxy, ya no se me solicita que seleccione un certificado y luego el navegador solo muestra este mensaje: 

"400 Bad Request
No required SSL certificate was sent
nginx/1.10.2"

Parece que necesito que OWASP ZAP envíe el certificado en lugar del navegador o, de alguna manera, haga que el navegador obligue a ZAP a enviar el certificado. ¿Hay alguna manera de hacer esto? ¿Es esto algo que ZAP soporta?

Editar: Mi configuración funciona así: hay tres componentes. Firefox, OWASP ZAP y un proyecto de Selenium. Anteriormente, era solo Selenium y Firefox. La aplicación que estoy probando tiene múltiples usuarios con diferentes roles. Los casos de prueba de Selenium implican iniciar sesión como un usuario, realizar una tarea como ese usuario (que genera trabajo para otro usuario), iniciar sesión como el siguiente usuario, realizar un trabajo como ese usuario, etc. Cada usuario tiene su propio certificado para iniciar sesión.

Anteriormente, creé varios perfiles de Firefox (uno para cada usuario) y agregué un solo certificado para cada perfil. Cuando accedí al sitio con uno de estos perfiles, el navegador predeterminaría el certificado único. Selenium podría entonces cambiar entre usuarios cerrando el navegador antiguo y abriendo uno nuevo con el perfil correcto.

En este momento, uso ZAP abriendo el perfil de navegador adecuado, configurando el proxy en localhost: 8080, iniciando la GUI de ZAP y luego ejecutando la prueba de Selenium que usa el perfil mencionado anteriormente. Luego, establezco manualmente los contextos, ejecuto la araña y cambio al modo de ataque. Hasta ahora, me han ayudado a conseguir que ZAP use un solo certificado a la vez, lo que ha sido un cambio significativo.

    
pregunta harrys 17.08.2018 - 16:24
fuente

1 respuesta

2

Debería poder agregar cualquier certificado que necesite usar a través de la pantalla de Opciones / Certificado de ZAP ( enlace ).

    
respondido por el Simon Bennetts 17.08.2018 - 17:01
fuente

Lea otras preguntas en las etiquetas

¿Necesito Gateway Firewall para la red IoT? [cerrado] ¿Google marca todos los subdominios de malware / phishing si uno está infectado?