問題タブ [zapproxy]

ウェブサイトでザップ プロキシ スキャンを自動化しようとしていました。以下は私の流れです

1. Zap プロキシを開始する
2. 新しいセッションを作成 ( /JSON/core/action/newSession/?apikey=12345&name=NewSession&overwrite=true)
3. 新しいコンテキストを作成 ( /JSON/context/action/newContext/?apikey=12345&contextName=NewContext)
4. 含める正規表現 URL パターンと除外する正規表現 URL パターンをコンテキストに追加します ( /JSON/context/action/setContextRegexs/?apikey=12345&contextName=NewContext&incRegexs=[https://myowsapjuiceshop.herokuapp.com/*]&excRegexs=[^(?:(?!http.*://myowsapjuiceshop.herokuapp.com).*).$])
5. テクノロジーをコンテキストに追加 ( /JSON/context/action/includeContextTechnologies/?apikey=12345&contextName=NewContext&technologyNames=Db.MySQL%2CLanguage.Java%2COS.Linux%2CWS.Tomcat)
6. プロキシ セットで UI テストを実行する
7. Run active scan ( /JSON/ascan/action/scan/?apikey=12345&url=&recurse=&inScopeOnly=&scanPolicyName=&method=&postData=&contextId=2) // 2 が正しい contextID
8. アクティブ スキャンが完了するのを待ちます ( /JSON/ascan/view/status/?apikey=12345&scanId=5) // 5 は、ステップ 7 で取得する必要があるスキャン ID です (アクティブ スキャン応答を実行します)
9. アラート json を取得 ( /JSON/alert/view/alerts/?apikey=12345&baseurl=&start=&count=&riskId=)

ステップ7まではすべて問題なく、ステップ7で立ち往生しています。ドキュメントに基づいて、「指定されたURLおよび/またはコンテキストに対してアクティブなスキャナーを実行します....」。ContextId が言及されている場合、コンテキストに対してアクティブスキャンを実行でき、URL はオプションであることを理解していました。

しかし、API をヒットして、正しい apikey と contextId でアクティブ スキャンを実行すると、 /JSON/ascan/action/scan/?apikey=12345&url=&recurse=&inScopeOnly=&scanPolicyName=&method=&postData=&contextId=2

レスポンスは{"code":"missing_parameter","message":"Missing Parameter"}

ザップログでエラーを下回っています

コンテキストに設定した正規表現を含めたり除外したりする、記録されたすべての URL でアクティブな ascan を実行したいと考えています。どんな助けでも大歓迎です。

ZAP CLIを使用して ZAP スキャン全体を自動化する予定です

ZAP は、フォームベースの認証にコンテキストを使用します。このコンテキストは、ZAP UI を使用して手動で簡単に作成できます。しかし、自動化を使用してフォーム認証を使用するアプリケーションをスキャンできるように、このコンテキストの作成を自動化する必要があります。

そうする方法/回避策はありますか？

ZAP UI を使用して ZAP コンテキストを作成する方法

前もって感謝します。

フォームベースの認証を使用して ZAP Desktop を使用しました。zap は Desktop アプリで完全に正常に動作します。ただし、私が使用しているWebアプリケーションには_csrf_tokenもあり、ユーザー名とパスワードとともに渡されるため、セレンを使用した手動認証で自動化することにしました。

以下は私が得ているエラーです -

私のコードは以下のようになります -

上記のコードで何か不足していますか? ユーザーをまったく認証できません。