我正在尝试学习如何使用ZAP,但遇到了身份验证问题。
我正在本地运行一个angular网站(端口4200(,该网站调用本地C#API(端口8080(。API是一个通过IIS运行的windows应用程序。在Chrome中,我使用SwitchySharp代理将请求定向到8082端口,这是ZAP的端口,带有"No proxy for:<-loopback>"以允许localhost代理。
我为我的angular应用程序提供服务,可以导航到它并在Chrome中运行它而不会出现问题。然而,在ZAP的历史选项卡中,我在本地API服务器的任何GET请求旁边都会收到"401未授权"消息(OPTIONS请求提供200响应,但响应大小为0字节?(。
在ZAP中,我在上下文中包含了localhost.*,将上下文的身份验证切换为NTLM(主机名=localhost:80?(,将我的user/pass添加到上下文的Users,并在右上角工具栏中启用了"强制用户"图标。Spider/Scanning不会返回任何结果,虽然浏览工作正常,但它在ZAP历史消息中显示为401。
知道我怎么扫描吗?
好的,所以我的代理出现了问题。这是我的设置:
ZAP默认上下文
- 身份验证=HTML/NNTLM,主机名=localhost,端口=80
- Users=添加我的用户/通行证
- 包含在上下文中:客户端和API本地应用程序(http://localhost.*)
ZAP
- 强制用户已打开(右上角工具栏上单击挂锁(
代理切换
- Profile=ZAP,手动配置="localhost"作为HTTP代理,端口=8082(这是ZAP正在侦听的位置,需要在ZAP中的某个位置进行设置,并信任ZAP的证书(,"<-loopback>"没有代理(允许localhost代理(
- 切换规则:"http://localhost*",通配符模式,路由到ZAP配置文件。这是我搞砸的地方,因为我只路由了我的客户端应用程序("http://localhost:4200*"(导致我的API出现身份验证问题