Как выполнить Pen Test REST API, защищенный с помощью jwt

У меня есть RESt API, который защищен токеном JWT (как HTTP-заголовок). Я хочу провести тест на проникновение в TEST API и не имею предварительного понимания этой темы. Я выполнил некоторые инструкции, установил OWASP ZAP, набрал URL-адрес и нажал кнопку атаки. Но ответ был

Failed to attack the URL :received a 401 response code

Так как же проверить мой REST API на ручку с помощью ZAP?

Любая помощь приветствуется

Ricky 20.06.2017 источник

Ответы (1)

arrow_upward
2
arrow_downward

Можете ли вы каким-либо образом сгенерировать действительный токен JWT? В таком случае вы можете указать ZAP использовать его, как описано в этом сообщении в блоге: https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html

Simon Bennetts 20.06.2017

comment

Да, я могу сгенерировать действующий токен. Позвольте мне попробовать это. Спасибо. Есть ли примеры графического интерфейса? - Ricky; 20.06.2017

comment

Вы можете сделать все вышеперечисленное через пользовательский интерфейс - см. Предыдущее сообщение в блоге (zaproxy.blogspot.co.uk/2017/04/exploring-apis-with-zap.html) для получения дополнительных сведений. Если вам нужна дополнительная помощь, спросите здесь или, может быть, спросите в группе пользователей ZAP? groups.google.com/group/zaproxy-users - Simon Bennetts; 21.06.2017

comment

Нужно ли мне писать сценарии для теста или это можно сделать, просто передав URL-адрес и токен в качестве заголовка. - Ricky; 21.06.2017

comment

Вы можете делать все, что делает скрипт cmdline, используя UI без скриптов :) - Simon Bennetts; 21.06.2017

comment

Если вы не возражаете, мы можем продолжить это обсуждение в чате, поскольку у меня возникли некоторые проблемы во время тестирования API. Спасибо - Ricky; 22.06.2017

comment

Конечно: irc.mozilla.org #websectools - это то место, где вы обычно можете найти некоторых из основной команды ZAP :) - Simon Bennetts; 23.06.2017

Как выполнить Pen Test REST API, защищенный с помощью jwt

Ответы (1)

Похожие вопросы