使用django的OWASP ZAP配置管理登錄

Question

問題我無法配置我的OWASP ZAP應用程序登錄並掃描需要驗證的頁面。

我的頁面是內置在Django管理頁面。

我錄的腳本從這個頁面的指示如下：https://www.coveros.com/scripting-authenticated-login-within-zap-vulnerability-scanner/

該腳本可以登錄

我已經將它設置爲基於腳本的認證

登錄網址：http://127.0.0.1:8000/admin/ 方法：POST

在指示器的regexp登錄：\ Qlogout。\ E 已註銷指示器正則表達式：\ Q /管理/。\ E

我不確定是否必須添加用戶，但是我添加了它。

會話管理：基於Cookie的

（基於以及HTTP嘗試了）當我點擊攻擊掃描/蜘蛛，掃描的頁面只能不需要認證。例如：/管理員/註銷/頁面未被發現

請讓我知道我做錯了什麼？

感謝

Answer 1

看一看這個FAQ，ESP的診斷問題部分：https://github.com/zaproxy/zaproxy/wiki/FAQformauth#diagnosing-problems

再現那一段是爲了完整性：

如果「強制用戶模式禁用 - 單擊要啓用」按鈕沒有啓用，那麼你沒有配置足夠的信息供ZAP進行驗證 - 仔細檢查你是否執行了上述所有步驟。

如果已經啓用強制用戶模式，當你訪問那麼你的應用程序看起來在歷史記錄選項卡的請求仍然沒有登錄：

• 如果沒有登錄請求，那麼你有可能不選擇一個合適的「登錄/註銷」指標，嘗試改變它並嘗試再次嘗試
• 如果有一個登錄請求，然後看看請求和響應，看看你是否可以計算出登錄失敗的原因 - 您可能需要更改請求或甚至提出多個請求

如果您需要創建多個登錄請求，那麼最好的選擇是記錄一個Zest身份驗證腳本並首先對其進行隔離測試。