如何解决基于 OWASP ZAP 代理脚本的身份验证 - 如何自动化
我正在尝试自动化 ZAP proxy 的 docker 实现,以针对我的一些基于令牌的 Web 应用程序,这些应用程序使用 Amazon Cognito 进行身份验证和授权。
由于目标应用程序需要令牌作为 Authorization 标头,因此在 ZAP 桌面应用程序上可以通过“Authentication”和“HttpSender”脚本从 Cognito 获取令牌并放置分别在每个被扫描的 URL 的 HTTP 请求中。
但是,对于 ZAP Docker,我可以使用“-n”标志向它发送上下文文件,该文件还将包含对“身份验证”脚本的引用,我将创建该脚本以从 Cognito 获取令牌。但是我没有找到将“HttpSender”脚本与上下文文件或从上面链接中提供的选项列表中获取此文件的任何标志绑定的方法。
所以,问题是:
- 我可以在身份验证脚本中使用其他库(例如 AWS 开发工具包)来引用吗?如何将它们传递给 ZAP Docker 容器,以便脚本可以在运行时引用它?
- 是否可以通过发送 HttpSender 脚本或其他任何方式将令牌放入每个扫描请求中?
谢谢!
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。