我正在尝试学习如何使用ZAP并遇到身份验证问题。
我正在本地运行一个有角度的网站(端口4200),该网站调用本地C#API(端口8080)。该API是通过IIS运行的Windows应用程序。在Chrome中,我将使用SwitchySharp代理将请求定向到端口8082(ZAP的端口,带有“无代理:”)以允许本地代理。
我提供了我的角度应用程序,可以导航到它并在Chrome中运行它而不会出现问题。但是,在ZAP的“历史记录”选项卡中,我到本地API服务器的任何GET请求旁边都会收到“ 401未经授权”消息(OPTIONS请求给出200个响应,但响应大小为0字节?)。
在ZAP中,我在上下文中包含localhost。*,将上下文的身份验证切换为NTLM(hostname = localhost:80?),将我的用户/密码添加到上下文的Users,并在右上角的工具栏中启用了“强制用户”图标。蜘蛛/扫描不返回任何结果,并且在浏览正常时,它在ZAP历史消息中显示为401。
知道如何扫描吗?
好,所以我的代理服务器出现问题。这是我的设置:
ZAP默认上下文
ZAP
代理切换