HelpStartConceptsAuthentication

Otentikasi

ZAP menangani beberapa jenis otentikasi (disebut Authentication Metode ) yang bisa digunakan untuk website / webapps. Setiap Konteks memiliki Metode Otentikasi didefinisikan yang menentukan bagaimana otentikasi ditangani. Itu otentikasi digunakan untuk membuat Sesi Web yang sesuai webapp yang diautentikasi Pengguna .

Dalam rangka untuk mendeteksi ketika pesan tanggapan dari server web sesuai permintaan untuk dikonfirmasi, satu perangkat indikator yang dapat dikonfigurasi. Itu Logged in indicator , bila ada dalam pesan tanggapan (baik header atau badan), menandakan bahwa pesan respon sesuai dengan permintaan yang diautentikasi (mis., ada 'logout' link 'atau' Welcome back, User X 'pattern). Demikian pula, Logged indikator keluar menunjukkan permintaan yang tidak diautentikasi (mis., keberadaan sebuah 'link login'). Jika ZAP mendeteksi indikator keluar ini akan mengautentikasi ulang, selain itu diasumsikan bahwa sudah dikonfirmasi dan akan terus seperti biasa. Hanya satu (1) dari dua (2) indikator yang diperlukan fungsionalitas yang tepat. Dalam kasus tidak satu pun dari Indikator telah ditentukan, semua pesan dipertimbangkan, oleh default, dikonfirmasi.

Untuk menetapkan salah satu Indikator Masuk / Keluar yang Ditandai , ketik regex langsung di Sidang Properties - - Panel otentikasi -> Field Indikator Masuk / Keluar Indikator , cari pesan yang diautentikasi di Pohon Situs, pilih, buka Response View dan pilih teks yang ingin Anda definisikan sebagai indikator dengan menggunakan mouse dan pilih Flag as Context ... Masuk / keluar indikator klik kanan opsi menu.

[Untuk melakukan otentikasi pengguna pada website / dalam webapp, Authentication Method mendefinisikan bagaimana otentikasi dilakukan (proses), sedangkan kredensial yang diperlukan (tepatnya pengenal) bergantung pada pengguna, jadi, di ZAP, mereka dikonfigurasi di Pengguna.

Generik langkah utama yang diperlukan untuk mengkonfigurasi otentikasi untuk aplikasi web adalah sebagai berikut:]Properties - - Panel otentikasi -_ Field Indikator Masuk _ Keluar Indikator _ cari pesan yang diautentikasi di Pohon Situs_ pilih_ buka Response View dan pilih teks yang ingin Anda definisikan sebagai indikator dengan menggunakan mouse dan pilih Flag as Context ... Masuk _ keluar indikator klik kanan opsi menu.

konfigurasikan dengan benar ZAP Konteks untuk aplikasi web
atur metode pengelolaan sesi untuk konteksnya yang digunakan di aplikasi Anda
atur metode otentikasi untuk konteksnya:
1. atur setidaknya satu dari Logged In Indicator atau indikator Logged out , seperti dijelaskan di atas
2. mengkonfigurasi metode otentikasi untuk aplikasi anda, menentukan semua persyaratan (seperti yang terlihat di bawah ini)
konfigurasikan satu set pengguna untuk konteks yang berhubungan langsung dengan metode otentikasi untuk konteksnya

[Metode otentikasi dapat digunakan di banyak tempat sekitar PERTENGKARAN. Beberapa contohnya meliputi:

mendefinisikan User dan login otomatis

deteksi status terautentikasi / tidak terauthentikasi

melakukan autentikasi otomatis Konteks | Permintaan Konteks

Beberapa metode otentikasi telah diterapkan dan Sistem ini mendukung penambahan metode baru dengan mudah, sesuai kebutuhan pengguna. Mereka yang utama dijelaskan di bawah ini.]Pengguna .

Otentikasi Manual

Metode ini memungkinkan pengguna melakukan autentikasi secara manual (misalnya mengotentikasi di browser saat melakukan proxy melalui ZAP) dan lalu pilih sesi HTTP yang sesuai. Seperti yang sebenarnya otentikasi dilakukan oleh anda, metode ini tidak mendukung otentikasi ulang dalam kasus aplikasi web log pengguna.

Ketika menggunakan metode ini, konfigurasi Pengguna untuk konteks memerlukan memilih sesi HTTP dikonfirmasi.

Otentikasi Berbasis Bentuk

Metode ini digunakan untuk website / webapps dimana authentication berada dilakukan dengan mengirimkan formulir atau melakukan permintaan GET ke 'url login' menggunakan 'username / password' sepasang kredensial otentikasi. Re-otentikasi adalah mungkin. Konfigurasi bisa dilakukan dengan menggunakan Sesi Konteks Dialog atau menggunakan PopupMenu kontekstual: Tandai sebagai ... Permintaan Masuk Otentikasi Berbasis Formulir .

Ketika menggunakan metode otentikasi ini, konfigurasi pengguna untuk konteks membutuhkan menyiapkan nama pengguna/kata sandi sepasang kredensial yang digunakan untuk bentuk berdasarkan otentikasi.

Otentikasi HTTP / NTLM

Metode ini digunakan untuk situs web / aplikasi web di mana otentikasi ditegakkan dengan menggunakan HTTP atau NTLM mekanisme Otentikasi menggunakan HTTP pesan header. Tiga skema otentikasi didukung: Basic, Digest dan NTLM. Otentikasi ulang adalah mungkin, seperti otentikasi header yang dikirim dengan setiap dikonfirmasi permintaan. Konfigurasi bisa dilakukan dengan menggunakan Sesi Konteks Dialog .

Saat menggunakan metode otentikasi ini, konfigurasikan Pengguna untuk konteksnya memerlukan menyiapkan username / password sepasang kredensial yang digunakan untuk otentikasi HTTP / NTLM.

Otentikasi Berbasis Script

Metode ini berguna untuk situs web / aplikasi web di mana otentikasi yang lebih kompleks dan beberapa custom script yang menangani proses otentikasi yang bermanfaat. Untuk menggunakan metode ini, anda harus terlebih dahulu menentukan Otentikasi script yang mengirimkan pesan atau melakukan tindakan lain yang diperlukan oleh aplikasi web. Script ini kemudian dipilih untuk digunakan dalam konteks tertentu dan disebut setiap kali otentikasi dilakukan. Re-otentikasi adalah mungkin. Konfigurasi dapat dilakukan dengan menggunakan Sesi Konteks Dialog dan mengharuskan anda untuk memiliki Script Konsol ZAP tambahan diinstal dari Pasar.

Ketika menggunakan metode ini, konfigurasi Pengguna untuk konteks membutuhkan menyiapkan satu set parameter yang ditetapkan dalam naskah. Untuk lebih jelasnya, lihat contoh Authentication Script yang tersedia.

Contoh konfigurasi

Contoh konfigurasi yang menunjukkan bagaimana untuk sepenuhnya mengkonfigurasi aplikasi web yang digunakan otentikasi berbasis form dan manajemen sesi berbasis cookie Terlihat di bawah ini:

siapkan konteks untuk aplikasi web
atur metode pengelolaan sesi menjadi Pengelolaan Sesi Berbasis Cookie
pastikan proxy browser Anda semuanya melalui ZAP dan login ke aplikasi Anda menggunakan browser

pergi ke ZAP dan mengidentifikasi permintaan yang dilakukan untuk masuk (biasanya permintaan HTTP POST yang berisi nama pengguna dan kata sandi dan mungkin unsur-unsur lain)

klik kanan pada permintaan dan Flag as Context... Form-based Auth Login Request

sebuah jendela akan terbuka yang sudah berisi permintaan URL dan parameter (jika ada). Gunakan pilihan dropdown untuk memilih mana yang sesuai dengan parameter nama pengguna dan kata sandi

kemudian anda perlu untuk memberitahu ZAP cara untuk mengidentifikasi apakah otentikasi berhasil atau tidak. Yang dapat anda lakukan ini dengan pengaturan masuk atau keluar indikator. Ini adalah pola regex yang, jika ditemukan pada a tanggapan, beritahu ZAP apakah itu disahkan atau tidak (mis., kehadiran a http://example.com/logout link atau adanya 'Welcome, User X'). Hanya satu di antaranya perlu. Untuk menetapkan salah satunya, ketik regex secara langsung di Session Properties -> Authentication -> Logged In Indicator, temukan pesan yang diautentikasi di Pohon Situs, pilih, buka Response View dan pilih teks yang ingin Anda tentukan sebagai indikator yang digunakan mouse dan pilih Flag as Context... Masuk dalam opsi menu klik kanan klik.

tentukan sebanyak mungkin pengguna yang Anda butuhkan di bagian Session Properties -> Users.

setelah langkah ini, berbagai tindakan tersedia di ZAP. Misalnya, Anda sekarang dapat memilih pengguna di Spider dialogue . Atau, dengan menggunakan Mode Pengguna Paksa, Anda dapat memaksa semua interaksi yang melewati ZAP untuk konteks tertentu agar berasal dari perspektif Pengguna. Mode Paksa Pengguna diaktifkan melalui tombol sebelumnya-ke-terakhir di bilah alat (yang berisi pengguna dan kunci) dan dikonfigurasi melalui Session Properties -> Forced User Mode.

Sebagian besar langkah di atas juga berlaku untuk metode otentikasi lainnya. Satu-satunya hal yang berubah ketika mencoba untuk mengkonfigurasi otentikasi menggunakan metode yang berbeda yaitu langkah 3, 4, 5 dan 6. Alih-alih, pilih otentikasi metode yang diperlukan dari daftar drop-down dan mengkonfigurasi sesuai kebutuhan. Detail lebih lanjut tentang mengonfigurasi setiap jenis otentikasi bisa di atas dan sini.

Dikonfigurasi via

	Dialog Session Properties

Lihat juga

	Tutorial Youtube	dari Authentication, Session Management dan User Management features dari ZAP [tautan eksternal ke https://youtu.be/cR4gw-cPZOA].
	Ikhtisar UI	untuk ikhtisar antarmuka pengguna
	Fitur	disediakan oleh ZAP
	Sidang Konteks Dialog	untuk tinjauan umum tentang Session Properties
	Pengguna	untuk ikhtisar Pengguna

ZAP Panduan Pengguna
- Perkenalan
- Memulai
- Antarmuka pengguna
- Command Line
- Add Ons
- Releases
  - 2.7.0
  - 2.6.0
  - 2.5.0
  - 2.4.3
  - 2.4.2
  - 2.4.1
  - 2.4.0
  - 2.3.1
  - 2.3.0
  - 2.2.2
  - 2.2.1
  - 2.2.0
  - 2.1.0
  - 2.0.0
  - 1.4.1
  - 1.4.0
  - 1.3.4
  - 1.3.3
  - 1.3.2
  - 1.3.1
  - 1.3.0
  - 1.2.0
  - 1.1.0
  - 1.0.0
- Paros Proxy
- Kredit

Provide feedback

Saved searches

Use saved searches to filter your results more quickly