end0tknr's kipple - 新web写経開発

http://d.hatena.ne.jp/end0tknr/ から移転しました

OWASP ZAP 2.8.0 で BASIC認証サイトへの脆弱性SCAN

忘れてたので、メモ

STEP1 - まずはスクリプトの追加

f:id:end0tknr:20191130092827p:plain

STEP2 - 次にスクリプト名等の設定

f:id:end0tknr:20191130092843p:plain

STEP3 - 最後にスクリプトの記述

f:id:end0tknr:20191130092852p:plain

上記のテキストエリアには次のように入力します。

ただし「????????」部は、「$USER_ID:$PASSWD」をBASE64エンコードしたもの

org.parosproxy.paros.network.HttpSender.addListener(
  new org.zaproxy.zap.network.HttpSenderListener {
    getListenerOrder: function() { return 1; },
    onHttpRequestSend: function(msg, initiator) {
      msg.getRequestHeader().setHeader(
         "Authorization","Basic ????????"
         );
     },
     onHttpResponseReceive: function(msg, initiator) {}
});

以上で、脆弱性SCAN が可能になります