以前、 OWASP ZAP 2.8.0 で BASIC認証サイトへの脆弱性SCAN - end0tknr's kipple - web写経開発 にて、owasp zapにおける basic認証手順は記載しましたが、 basic認証 + form認証のサイトに対するowasp zapを行う為、メモ。
STEP 1 - サイト一覧へ、ログインurlを追加
まず、owasp zapのproxy経由で firefox等からログイン操作をすることで、 ログインurlをここへ追加します。
次に、追加されたログインurlを右クリックし、 「Flas as Context→既定コンテキスト: Form-based Auth Login Request」を選択し 「セッション・プロパティ」画面を表示します。
STEP 2 - 「セッション・プロパティ > 認証」画面 の編集
以下のような画面が表示されますので、必要があれば、修正して下さい。 ( 私の場合、Username Parameter , Password Parameter を修正しました )
STEP 3 - 「セッション・プロパティ > ユーザ」画面 の編集
以下のような画面が表示されますので、ログイン可能な ID / PW を追加して下さい。
以上、owasp zapが、spiderやscan時にログインできるはずです
