IIS でホストされているローカル Web サイトがあり、デーモン モードで実行される ZAP ツールを使用してアプリケーションをスキャンしようとしています。IIS から「匿名認証」メソッドを無効にし、有効な唯一のメソッドが「基本認証」になるまで、すべて正常に動作します。「URL の攻撃に失敗しました: 401 応答コードを受け取りました」というエラーが表示されます。
デーモン モードからログイン資格情報を送信する可能性はありますか?
コマンドは次のようになります: zap.bat -quickurl "urlToTest" -quickprogress -daemon -cmd.
-cmd オプションは、ZAP をコマンドライン / インライン モードにします。-daemon モードを使用して、ZAP をデーモン モードにします。この時点で、ZAP API を使用して対話する必要があります。認証を処理するには、アプリケーションを Context に追加してから、認証を指定する必要があります。フォーム ベース認証に関する FAQがあります: https://github.com/zaproxy/zaproxy/wiki/FAQformauth /zap-core-help/wiki/HelpStartConceptsAuthentication 最初に ZAP UI を使用してこれをテストすることをお勧めします。その後、Context にエクスポートしてデーモン モードで再利用することもできます。問題が発生した場合は、ZAP ユーザー グループ ( http://groups.google.com/group/zaproxy-users ) にアクセスすることをお勧めします。
サイモン (ZAP プロジェクト リーダー)