如何解决未通过 ZAP API 扫描 docker 映像进行身份验证
最初我尝试通过 ZAP UI 验证 API。我有一个文件夹结构,其中有
上下文、wrk->script->authentication->bearer-token.js、wrk->script->httpsender->header-set-bearer-token.js、wrk->script->zap_hooks.py.
在进行身份验证时,我选择了 ScriptBasedAuthentication 并加载了脚本 bearer-token.js、提供的令牌提供程序 URL、API 密钥和在 bearer-token.js 中提供的授权类型。 导入 Swagger.json 并运行 Active Scan。
使用 ZAP UI 一切正常。
在尝试使用 ZAP API Scan docker image 时,我收到警报
服务器返回响应代码 401。
这可能表明应用程序未能正确处理意外输入。
正在扫描所有 api,但未对其进行身份验证。 我正在运行的命令是
docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weekly zap-api-scan.py -t test.json -f openapi -r api-scan-report.html -z “-config replacer.full_list(0).description=auth1 -config replacer.full_list(0).enabled=true -config replacer.full_list(0).matchtype=REQ_HEADER -config replacer.full_list(0).matchstr=授权 -config replacer.full_list(0).regex=false -config 'replacer.full_list(0).replacement=Bearer XXXXXXXXXXXXXXXXXXXXXX'”
"Bearer TokenXXXXX" 之间有空格,所以我引用了这个 https://github.com/zaproxy/zaproxy/issues/4332#issuecomment-367326344
但它对我不起作用。同样,Bearer 令牌仅在 5 分钟内有效,然后就会过期。
如果我提供--hook=zap_hooks.py,它会说在 /zap/zap_hooks.py 中找不到自定义钩子文件 我从一个星期开始尝试这个,但没有运气。 请帮助我如何验证我的 API 可以摆脱 401(未经授权)
请帮我解决这个问题。 提前致谢。
解决方法
尝试使用 zap.sh
或 zap.bat
脚本在本地启动 ZAP 并指定相同的 -config
参数 - 桌面将以应用这些参数开始,因此您可以手动检查替换规则正在设置并按您的预期工作。
或者使用身份验证 env var 选项:https://www.zaproxy.org/docs/desktop/start/features/authentication/#envvars - 如果您只想注入标头,那么它可能对您来说更容易。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。