#owasp #shibboleth #zap
Вопрос:
Я просмотрел документацию OWASP, и методы входа, которые подробно описаны в указанной документации, похоже, не связаны с приложениями, использующими Shibboleth.
Для тех, кто работал с Shibboleth, вы будете знать, что он работает с различными перенаправлениями, поэтому обычно метод входа OWASP с использованием идентификатора формы и т. Д. Не работает.
Я/Мы пытаемся добавить эту отчетность OWASP в конвейер, но невозможность сканирования за пределами пути входа в систему создает очевидные проблемы.
Мне было интересно, имел ли кто-нибудь какой-либо опыт общения с ОВАСПОМ и Шибболетом и мог бы помочь?
Заранее очень признателен!
Ответ №1:
ZAP должен быть в состоянии справиться с любым методом аутентификации (при условии, что у вас есть доступ ко всем необходимым данным). В этом случае вам, вероятно, потребуется использовать сценарии.
Вы понимаете, как работает аутентификация и обработка сеансов Shibboleth? Если это так, я, надеюсь, смогу рассказать вам о том, что вам нужно будет сделать в ZAP. Это было бы проще для группы пользователей ZAP, но мы можем продолжить здесь, если вы не возражаете, что мои ответы занимают больше времени 😉
Комментарии:
1. Спасибо за быстрый ответ, Саймон! Боюсь, я не знаю, как это делается, но у меня есть коллеги, которые знают! Моя первая попытка сделать это включала указание файла параметров с учетными данными пользователя и идентификаторами формы, но я быстро понял, что этого будет недостаточно для Shib!