Аутентификация на основе форм OWASP ZAP для приложения HTTPS

Да, и у нас есть ответы на часто задаваемые вопросы: https://github.com/zaproxy/zaproxy/wiki/FAQformauth

Сложно отлаживать проблемы при простом использовании API, поэтому я рекомендую сначала использовать пользовательский интерфейс, а после того, как у вас все заработает, преобразовать то, что вы сделали, в API.

Через пользовательский интерфейс:

1. Пункт списка
2. Изучите свое приложение во время проксирования через ZAP
3. Войдите, используя действующее имя пользователя и пароль
4. Определите контекст, например, щелкнув правой кнопкой мыши верхний узел вашего приложения на вкладке «Сайты» и выбрав «Включить в контекст».
5. Найдите "Запрос на вход" на вкладке "Сайты" или "История".
6. Щелкните его правой кнопкой мыши и выберите «Пометить как контекст» / «Запрос авторизации на основе формы».
7. Убедитесь, что параметры имени пользователя и пароля установлены правильно - они почти наверняка не будут!
8. Найдите в ответе строку, по которой можно определить, вошел ли пользователь в систему или нет.
9. Выделите эту строку, щелкните правой кнопкой мыши и выберите «Пометить как контекст» / «Индикатор входа / выхода» в зависимости от ситуации - вам нужно установить только один из них, а не оба.
10. Дважды щелкните соответствующий узел контекста и перейдите на страницу «Пользователи» - проверьте правильность сведений о пользователе, добавьте любых других пользователей, которых вы хотите использовать, и включите их всех.
11. Перейдите на страницу контекста «Принудительный пользователь» и убедитесь, что выбран пользователь, которого вы хотите протестировать.
12. Кнопка «Принудительный режим пользователя отключен - нажмите, чтобы включить» теперь должна быть включена.
13. Нажатие этой кнопки заставит ZAP повторно отправлять запрос аутентификации всякий раз, когда он обнаруживает, что пользователь больше не вошел в систему, то есть с помощью индикатора «вошел в систему» ​​или «вышел из системы».

Через API процесс тот же, но с использованием вызовов API:

context/includeInContext
authentication/setAuthenticationMethod

authMethodName : formBasedAuthentication
authMethodConfigParams : loginUrl=http://example.com/login.html&loginRequestData=username%3D%7B%25username%25%7D%26password%3D%7B%25password%25%7D
    authentication/setLoginIndicator or setLogoutIndicator
    forcedUser/setForcedUserModeEnabled

Значения для параметров authMethodConfigParams должны быть закодированы в URL-адресе, в этом случае loginRequestData имеет значение username = {% username%} & password = {% password%}.