我使用ZAP已经有一段时间了,我熟悉它的基本功能。
目前,我面临以下问题:我有一个web应用程序,其中登录页面(POST请求)生成了一个包含EMPTY内容的302响应,这意味着我无法确定应该将哪个字符串/regex作为登录或注销指示符传递给ZAP。
我曾尝试从登录页面或主页(一旦用户登录)使用regex作为登录/注销指示符,但这会带来问题。
1-ZAP检测到用户未登录(因为,例如,登录指示符字符串不存在)2-ZAP自动发送POST请求,我已将其标记为基于表单的身份验证3-post请求返回一个正文为空的HTTP 3024-由于ZAP在HTTP 302正文中既找不到登录也找不到注销指示符,我被返回到登录页面,因此自动登录不起作用。
在这种情况下我该怎么办?正如我所提到的,我已经在几秒钟内成功地为其他项目/应用程序使用了ZAP自动登录,但这个响应体为空的HTTP302带来了问题。
建议?
您可能需要使用脚本。自动跟随重定向的身份验证脚本或http_sender脚本。在ZAP用户组上更详细地讨论这一点可能更容易:http://groups.google.com/group/zaproxy-users
干杯,
Simon(ZAP项目负责人)