認証テスターダイアログ

このダイアログを使用すると、ログインページと資格情報のみが与えられたサイトに対して、ZAPが認証を行い、セッション処理と検証を自動的に処理できるかどうかをテストできます。

フィールド

以下のフィールドが提供されています。

ログイン URL

ログインページのURLです。 これは必須であり、「http://」または「https://」で始まる必要があります。 このURLは、サイトツリーにある必要はありませんが、ZAPからアクセス可能でなければなりません。

コンテキスト

認証を処理するように設定されるコンテキストの名前です。 そのコンテキストがすでに存在する場合、それは削除され、再作成されます。

認証方法

使用する認証認証方法:

クライアントスクリプト

認証に使用するスクリプトです。これは、「クライアントスクリプト」認証メソッドを選択した場合にのみ有効になります。

適切なスクリプトをまだお持ちでない場合は、「記録」ボタンを使用できます。これにより、選択されたブラウザが起動し、ユーザーの操作の記録が開始され、指定されたURLが開かれます。
完了したら、ブラウザを手動で閉じる必要があります。
記録したばかりのスクリプトは、自動的に選択されます。

ブラウザ

認証に使用するブラウザです。
選択したブラウザは、インストールされており、ZAPから起動できる必要があります。

ユーザー名

認証に使用するユーザー名です。これは、「ブラウザベース」認証メソッドを選択した場合にのみ有効になります。
ログインを機能させるには、ユーザー名とパスワードが有効でなければなりません。

パスワード

認証に使用するパスワードです。これは、「ブラウザベース」認証メソッドを選択した場合にのみ有効になります。
ログインを機能させるには、ユーザー名とパスワードが有効でなければなりません。

待機時間 (秒)

ログインフォームを送信してからブラウザを閉じるまでに待機する秒数です。
アプリケーションの読み込みが遅いために、ブラウザが早すぎるうちに閉じられた場合、ZAPはセッション処理を識別したり、適切な検証URLを見つけたりできなくなる可能性があります。

ステップ遅延 (秒)

暗黙的なステップ (ユーザー名フィールドへの入力、パスワードへの入力、フォーム送信) またはステップタブで指定されたステップの間に待機する秒数です。
これは、ターゲットアプリケーションの実行が遅すぎるために、ZAPの入力に対応するのに間に合わない場合に役立ちます。
これを2に設定すると、以前の「デモモード」と同じ効果があります。

診断情報の記録

認証中に診断データの記録を有効にします。 診断情報の詳細については、認証レポートを参照してください。

リセットボタン

リセットボタンを使用すると、テストタブ上のすべてのフィールドをリセットし、ステップタブ上のすべてのステップを無効化できます (再作成が面倒になる可能性があるため、ステップは削除されるのではなく無効化されるだけです)。

結果パネル

結果パネルには、進捗と識別された要素が表示されます。 ZAPがこのサイトの認証を自動的に処理できるようにするには、すべての要素が識別される必要があります。

ドメインタブ

ドメインタブでは、コンテキストに含める必要のあるドメインを設定できます。

ドメインは1行に1つ、形式は 'https://www.example.com/' である必要があります。

セッション処理または検証URLが失敗した場合は、アプリが他のドメインにアクセスしているかどうかを確認してください。

ZAPはログインURLドメインまたはここにリストされているドメインの外部にあるドメインへのリクエストを考慮しません。

診断タブ

診断タブには、認証テストの一環として送受信されたリクエストとレスポンスの概要が含まれます。 認証をテストしている間に、ZAPで他の操作を実行しないことをお勧めします。そうしないと、無関係なメッセージが記録される可能性があるためです。

記録されるのは絶対最小限の情報のみであり、ホスト名とパラメーターの値は安全なトークンに置き換えられます。 データを私たち (開発チーム) と共有する前に、すべてのデータをコピーして、機密データが含まれていないことを確認できます。

ZAPがユーザー名またはパスワードフィールドのいずれかを検出できなかった場合は、ログインページに関する詳細情報が必要になります。 それを共有していただければ、デバッグがはるかに容易になります。

ZAPが必須の両方のフィールドを検出した場合は、診断タブのデータを私たちと共有してください。その情報だけで、何が問題を引き起こしているかを診断できるはずです。