OWASP ZAP: ¿Cómo realizar la autenticación cuando el punto final de la API solo acepta XML en bruto?

1

Actualmente estoy trabajando para probar una aplicación Angular 6 usando OWASP ZAP. Realmente disfruto esta herramienta, pero como muchos de nosotros, lucho con la parte de autenticación, y sin ella toda la herramienta se convierte en una hamburguesa de nada.

Se puede acceder a la ruta de inicio de sesión en mi localhost en /login y mi punto final de API https://api.example.com/auth solo acepta XML sin formato como:

<EngineDocList>
  <DocVersion>1.0</DocVersion>
  <EngineDoc>
    ...
    <User>
      <Username>testuser</Username>
      <Password>test</Password>
      <CustomField DataType="S32">blablabla</CustomField>
    </User>
    ...
  </EngineDoc>
</EngineDocList>

En respuesta recibo un token, pero la API requiere que se envíe en el cuerpo como un campo de cada solicitud en lugar de un encabezado de autorización.

Además, ejecutar la araña no me da tiempo para iniciar sesión manualmente , y realmente no puedo proporcionar ninguna cadena para saber si estoy conectado o desconectado como mi aplicación Angular < strong> no es servidor representado .

    
pregunta Guillaume Le Mière 02.10.2018 - 19:25
fuente

0 respuestas

Lea otras preguntas en las etiquetas