Hola!!
Tengo un problema/duda con la autenticación por formulario que ofrece Owasp-Zap
Intento resumir el escenario y lo que no consigo y si alguien me puede ayudar se lo agradecería muchísimo.
Estoy lanzando un análisis owasp con un jenkins de tal manera que sigo las instrucciones de crearme un contenedor y lanzar el comando.
Hasta ahí todo correcto y se crea el informe sin problema.
Pero el problema es que solo comprueba la primera página que corresponde con la de login. Entonces he visto que hay una configuración que le indicas los datos de tu formulario de login y el solo se autentica.
Eso es lo que hice y modifiqué el comando de esta forma:
(he probado con la imagen owasp/zap2docker-stable y la ictu/zap2docker-weekly [https://github.com/ICTU/zap-baseline])
zap-baseline.py -d -I -j -m 30 -T 60 -t ${owaspDSL.urlApp} -P 8080 -r testreport.html -d -z "auth.loginurl='https://MISERVIDOR/sso/login' auth.username='pepito' auth.password='pass_pepito' auth.username_field='username' auth.password_field='password' auth.submit_field='submit'"
Pero no pasa de la pagina de login.
Investigando, si no me equivoco, he visto que esto funciona cuando tienes un botón o enlace de "Iniciar sesión" en tu web.
Sin embargo, nosotros tenemos un sistema CAS, de tal forma que es este sistema el que te presenta la página de login sino estás logado y luego te redirije a la web.
La pregunta es: ¿Alguno se ha pegado con este problema?, ¿Owasp no es compatible con sistemas como el de CAS?, ¿me falta algo o pongo algo mal en la configuración del comando?
Muchas gracias
Tengo un problema/duda con la autenticación por formulario que ofrece Owasp-Zap
Intento resumir el escenario y lo que no consigo y si alguien me puede ayudar se lo agradecería muchísimo.
Estoy lanzando un análisis owasp con un jenkins de tal manera que sigo las instrucciones de crearme un contenedor y lanzar el comando.
Hasta ahí todo correcto y se crea el informe sin problema.
Pero el problema es que solo comprueba la primera página que corresponde con la de login. Entonces he visto que hay una configuración que le indicas los datos de tu formulario de login y el solo se autentica.
Eso es lo que hice y modifiqué el comando de esta forma:
(he probado con la imagen owasp/zap2docker-stable y la ictu/zap2docker-weekly [https://github.com/ICTU/zap-baseline])
zap-baseline.py -d -I -j -m 30 -T 60 -t ${owaspDSL.urlApp} -P 8080 -r testreport.html -d -z "auth.loginurl='https://MISERVIDOR/sso/login' auth.username='pepito' auth.password='pass_pepito' auth.username_field='username' auth.password_field='password' auth.submit_field='submit'"
Pero no pasa de la pagina de login.
Investigando, si no me equivoco, he visto que esto funciona cuando tienes un botón o enlace de "Iniciar sesión" en tu web.
Sin embargo, nosotros tenemos un sistema CAS, de tal forma que es este sistema el que te presenta la página de login sino estás logado y luego te redirije a la web.
La pregunta es: ¿Alguno se ha pegado con este problema?, ¿Owasp no es compatible con sistemas como el de CAS?, ¿me falta algo o pongo algo mal en la configuración del comando?
Muchas gracias