Сканирование аутентифицированного веб-приложения

Без аутентификации вашего приложения ZAP, оно не сможет сканировать страницы, к которым есть доступ только после входа в систему. Давайте настроим приложение OWASP ZAP для сканирования этих страниц, используя вашу активную сессию.

Перейдите на машину DVWA и войдите, используя следующие учетные данные:

Имя пользователя: admin

Пароль: password

После входа в систему вы должны увидеть это.

Для целей этого упражнения, после входа перейдите на вкладку безопасности DVWA и установите уровень безопасности на низкий, а затем нажмите "Отправить".

Мы собираемся передать наш токен аутентификации в ZAP, чтобы мы могли использовать инструмент для сканирования аутентифицированных веб-страниц

Введите inspect element и обратите внимание на ваш файл cookie PHPSESSION

В ZAP откройте вкладку "HTTP-sessions" с помощью новой кнопки вкладок и установите аутентифицированную сессию как активную.

Теперь выполните повторное сканирование приложения. Вы увидите, что теперь ZAP способен обнаружить намного больше. Это происходит потому, что теперь он может видеть все разделы DVWA, которые ранее находились за страницей входа