このアドオンの他の識別スキャンルールとは異なり、このルールは、特定のコンテキストに対して検証の自動検出を使用したいと指定した場合にのみ、アラートを発生させます。 ZAP 2.12コアの動作方法により、新しい検証方法タイプを動的に追加することは現在不可能です。 代わりに、次のことを行う必要があります:
このルールは、有効なセッション管理トークンが提供された場合に異なる動作をするリクエストを識別することで機能しますが、トークンが提供された場合と提供されなかった場合にも一貫した動作をするリクエストも識別します。
ユーザー名を含むレスポンスが推奨されます。これはZAPでユーザーに付けられた名前、または認証情報で指定されたユーザー名のいずれかです。
パッシブスキャンルールとしては異例ですが、このルールは単にリクエストを観測するのではなく、実際にリクエストを作成します。 これは、有効なセッショントークンがある場合とない場合で、どのリクエストが異なる動作をするかを識別するためにこれを行う必要があります。 これは、上記のように有効にしている場合にのみ実行されます。
このルールが検証リクエストを持たないコンテキストの検証リクエストを識別した場合、または現在識別されているリクエストよりも「優れている」と判断されたリクエストを識別した場合、コンテキストが更新されます。
このルールが対象アプリケーションに適したリクエストの検出に失敗した場合は、機密情報を伏せたうえでリクエストおよびレスポンスの詳細を添えて 問題 を報告してください。調査を行います。