Owasp zap中基于标头的身份验证

时间：2022-06-11分类：编程问答

如何解决Owasp zap中基于标头的身份验证

我正在尝试实施Owasp Zap扫描。但是我找不到用于标题验证的脚本

如何为键值对添加标头身份验证，例如key = api-key value = 123

    docker run --rm -v $(Agent.ReleaseDirectory)/docker:/zap/wrk/:rw -t ictu/zap2docker-weekly zap- 
     baseline.py \
      -t https://www.example.com/ProductDetails/v1/details?productId=123456 \
      -I -x governreport.xml \
       -r testreport.html \
      --hook=/zap/auth_hook.py \ 
        -z "auth.loginurl=https://www.example.com/ProductDetails/v1/details?productId=123456" \

我正在关注这篇文章：

http://www.winkell.co.uk/2019/10/28/zap-security-scanning-in-azure-devops-release-pipelines/

解决方法

要添加您想要的标题，您可以在 -z

中包含以下选项

  -config replacer.full_list\\(0\\).description=auth1 \  
  -config replacer.full_list\\(0\\).enabled=true \  
  -config replacer.full_list\\(0\\).matchtype=REQ_HEADER \  
  -config replacer.full_list\\(0\\).matchstr=Authorization \  
  -config replacer.full_list\\(0\\).regex=false \  
  -config replacer.full_list\\(0\\).replacement=123456789

所以你的命令看起来像

    docker run --rm -v $(Agent.ReleaseDirectory)/docker:/zap/wrk/:rw -t ictu/zap2docker-weekly zap- 
 baseline.py \
  -t https://www.example.com/ProductDetails/v1/details?productId=123456 \
  -I -x governreport.xml \
   -r testreport.html \
  --hook=/zap/auth_hook.py \ 
    -z "auth.loginurl=https://www.example.com/ProductDetails/v1/details?productId=123456" \
  -config replacer.full_list\\(0\\).description=auth1 \  
  -config replacer.full_list\\(0\\).enabled=true \  
  -config replacer.full_list\\(0\\).matchtype=REQ_HEADER \  
  -config replacer.full_list\\(0\\).matchstr=api-key \  
  -config replacer.full_list\\(0\\).regex=false \  
  -config replacer.full_list\\(0\\).replacement=123

这样您就可以将标头 api-key: 123 添加到您的所有请求中。

参考：https://www.zaproxy.org/blog/2017-06-19-scanning-apis-with-zap/

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。

相关推荐

Selenium Web驱动程序和Java元素在(x，y)点处不可单击其他元素将获得点击?

Selenium Web驱动程序和Java。元素在(x，y)点处不可单击。其他元素将获得点击?

Python-如何使用点“” 访问字典成员？

Python-如何使用点“。” 访问字典成员？

Java 字符串是不可变的到底是什么意思？

Java 字符串是不可变的。到底是什么意思？

Java中的“ final”关键字如何工作？我仍然可以修改对象

Java中的“ final”关键字如何工作？（我仍然可以修改对象。）

“loop:”在Java代码中这是什么，为什么要编译？

“loop:”在Java代码中。这是什么，为什么要编译？

java.lang.ClassNotFoundException：sun.jdbc.odbc.JdbcOdbcDriver发生异常为什么？

java.lang.ClassNotFoundException：sun.jdbc.odbc.JdbcOdbcDriver发生异常。为什么？

这是用Java进行XML解析的最佳库

这是用Java进行XML解析的最佳库。

Java的PriorityQueue的内置迭代器不会以任何特定顺序遍历数据结构为什么？

Java的PriorityQueue的内置迭代器不会以任何特定顺序遍历数据结构。为什么？

如何在Java中聆听按键时移动图像

如何在Java中聆听按键时移动图像。

Java“Program to an interface”这是什么意思？

Java“Program to an interface”。这是什么意思？

Java在半透明框架/面板/组件上重新绘画

Java在半透明框架/面板/组件上重新绘画。

Java“ Class.forName”和“ Class.forNamenewInstance”之间有什么区别？

Java“ Class.forName（）”和“ Class.forName（）。newInstance（）”之间有什么区别？

在此环境中不提供编译器也许是在JRE而不是JDK上运行？

在此环境中不提供编译器。也许是在JRE而不是JDK上运行？

Java用相同的方法在一个类中实现两个接口哪种接口方法被覆盖？

Java用相同的方法在一个类中实现两个接口。哪种接口方法被覆盖？

Java 什么是Runtime.getRuntimetotalMemory和freeMemory？

Java 什么是Runtime.getRuntime（）。totalMemory（）和freeMemory（）？

java.library.path中的java.lang.UnsatisfiedLinkError否*****dll

java.library.path中的java.lang.UnsatisfiedLinkError否*****。dll

JavaFX“位置是必需的” 即使在同一包装中

JavaFX“位置是必需的。” 即使在同一包装中

Java 导入两个具有相同名称的类怎么处理？

Java 导入两个具有相同名称的类。怎么处理？

Java 是否应该在HttpServletResponse.getOutputStream/getWriter上调用.close？

Java 是否应该在HttpServletResponse.getOutputStream（）/。getWriter（）上调用.close（）？

Java RegEx元字符和普通点？

Java RegEx元字符（。）和普通点？

热门文章

最新文章