我有一个托管在IIS上的本地网站,我正在尝试使用以守护程序模式执行的ZAP工具扫描我的应用程序。一切正常,直到我从IIS禁用"匿名身份验证"方法,唯一启用的方法是"基本身份验证"。我收到的错误是"无法攻击URL:收到401响应代码"。
是否可以从守护程序模式发送登录凭据?
该命令如下所示:zap.bat-quickurl "urlToTest" -quickprogress -daemon -cmd。
-cmd 选项将 ZAP 置于命令行/内联模式。使用 -daemon 模式将 ZAP 置于守护程序模式,此时需要使用 ZAP API 与之交互。若要处理身份验证,必须将应用程序添加到上下文,然后指定身份验证。我们有一个基于表单的身份验证的常见问题解答:https://github.com/zaproxy/zaproxy/wiki/FAQformauth 您需要执行类似操作,但指定"HTTP/NTLM身份验证":https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsAuthentication我建议先使用 ZAP UI 对此进行测试 - 然后您也可以导出到上下文以在守护程序中重用。如有任何问题,最好转到 ZAP 用户组:http://groups.google.com/group/zaproxy-users
西蒙(ZAP项目负责人)