mar_15 4 авг 2023 в 12:01

Как в OWASP ZAP создать авторизационный контекст и задействовать его в автоматизации

7 мин

5.8K

Блог компании Swordfish SecurityИнформационная безопасность*

Туториал

Комментарии 6

olegtsss 4 авг 2023 в 12:50

Спасибо за материал, интересно было почитать. Вот эта история с контекстами и кукой выходит очень костыльной.
1) Можете прояснить пожалуйста, зачем так сложно сделано? Какой в этом технический смысл, плюсы от описанного алгоритма (здесь я не имею ввиду API, с ним все понятно)?
2) Как быть с csrf в Zap?

mar_15 8 авг 2023 в 08:35

Привет! А можешь пояснить, в чем костыльность? Зачем мы в целом используем контекст?

olegtsss 8 авг 2023 в 15:28

Конечно. Почему бы просто не указать нужные заголовки. Ведь они (заголовки) могут быть любыми. Посмотрел на прокси что там летает и куда (на какие ручки), отточил, что для чего нужно и применил, как есть (как передавались).

Да, в своем вопросе я также прошу подсветить не только минусы контекста (предметно для ААА, не рассматривая его в общем смысле), но и, конечно же, плюсы.

intrud3r 4 сен 2023 в 10:28

Интересно услышать конструктивный ответ.

intrud3r 8 авг 2023 в 07:29

благодарю, побольше бы таких туториалов

mar_15 8 авг 2023 в 08:36

Спасибо!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий