<div dir="auto">The ability to add the soo redirects and a macro recording for logins like NTO/Appspider has would be nice to have.</div><br><div class="gmail_quote"><div dir="ltr">On Thu, May 10, 2018, 4:28 PM Sherif Mansour <<a href="mailto:sherif.mansour@owasp.org">sherif.mansour@owasp.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div dir="auto">Hey Simon,</div><div dir="auto">Went through the doc, maybe I missed them, but also:</div><div dir="auto"><br></div><div>SAML 2.0</div></div><div dir="auto">Mutual auth (certs)</div><div dir="auto">Webauthn (new passwordless w3c/fido alliance standard).</div><div><br><div class="gmail_quote"><div>On Thu, 10 May 2018 at 8:02 am, psiinon <<a href="mailto:psiinon@gmail.com" target="_blank" rel="noreferrer">psiinon@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Thanks Rogan!<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 10, 2018 at 7:57 AM, Rogan Dawes <span><<a href="mailto:rogan@dawes.za.net" target="_blank" rel="noreferrer">rogan@dawes.za.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>I see there was no mention of Negotiate auth, a.k.a SPNEGO, which can carry NTLM, but also supports Kerberos auth.<div><br></div><div>Also, as a detail, NTLM and Negotiate are CONNECTION based, as opposed to per-request based. Without any insight into the internal architecture of ZAP, you have to be careful about reusing an existing authentication connection for unrelated requests (even if those requests don't have any Authorization headers), as they will automatically be authenticated by virtue of being in an authenticated connection.</div><div><br></div><div>Some additional details available here: <a href="http://www.securiteam.com/securityreviews/5OP0B2KGAC.html" target="_blank" rel="noreferrer">http://www.securiteam.com/securityreviews/5OP0B2KGAC.html</a></div><span class="m_-2034777946880763698m_-5371291558129997884HOEnZb"><font color="#888888"><div><br></div><div>Rogan</div><div><br></div></font></span></div></blockquote></div></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br><div class="gmail_quote"><div><div class="m_-2034777946880763698m_-5371291558129997884h5"><div>On Wed, May 9, 2018 at 10:35 AM psiinon <<a href="mailto:psiinon@gmail.com" target="_blank" rel="noreferrer">psiinon@gmail.com</a>> wrote:<br></div></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="m_-2034777946880763698m_-5371291558129997884h5"><div><div><div><div>Leaders - please see the email below sent to the ZAP Developers Group.<br><br></div>Kajan is working on making authentication handling better in ZAP for the Google Summer of Code.<br></div>An
 important aspect of this is coming up with a comprehensive list of 
authentication schemes - theres a link to the doc Kajan is working on 
below.<br>ZAP is very flexible and can probably handle most if not all 
of these schemes, but we know that configuring it to do so is painful 
and error prone.<br>Building this list will help us understand the scope
 of the problem and allow Kajan to focus on more generic solutions that 
support a wide range of schemes.<br></div><div>So please have a look at the doc and add suggestions for anything you spot thats missing or incorrect.<br><br></div><div>We know that getting ZAP to handle authentication can be difficult - this is your chance to help us make it much less painful :)<br><br></div><div>One of the reasons we asked Kajan to write this doc is that we couldnt find a comprehensive list of authentications schemes on the internet.<br></div><div>If we've missed such a list then please let us know. If not then how would you feel about us migrating the doc to the OWASP wiki once it has had some more feedback? I think it would be a valuable addition :)<br></div><div><br></div><div>Many thanks,<br><br></div><div>Simon</div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Kajan Mohanagandhirasa</b> <span><<a href="mailto:kajan.14@cse.mrt.ac.lk" target="_blank" rel="noreferrer">kajan.14@cse.mrt.ac.lk</a>></span><br>Date: Sun, May 6, 2018 at 7:39 AM<br>Subject: [zaproxy-develop] Automated authentication detection and configuration<br>To: OWASP ZAP Developer Group <<a href="mailto:zaproxy-develop@googlegroups.com" target="_blank" rel="noreferrer">zaproxy-develop@googlegroups.com</a>><br><br><br><div><div>Hi, I am Kajan from the University of Moratuwa, Sri Lanka. </div><div>It is my pleasure to meet you all again with good news. </div><div>I am working on "Automated authentication detection and configuration"[1]  as my GSoC project.</div><div>I will be updating my blog[2] weekly with my progress and other useful information related to this project.</div><div>To automate the task for as many sorts of web apps as possible, I am maintaining a list of different authentication schemes here[3]. </div><div>I want your help in prioritizing the most used and important authentication schemes.</div><div>In addition to that, please help me to extend this list by sharing your knowledge.</div><div>Of course, I will not be able to address all schemes within the GSoC period. But now I am part of a great community and will remain the same after GSoC. So feel free to suggest even if a small portion of web apps are using such authentication scheme. I want to build a comprehensive list. This will not only help me to identify my future works but also to implement in a way such that other schemes can be easily ported.</div><div>I am not an expert in anything. I am willing to hear your thoughts regarding this project. That will help me a lot.</div><div><br></div><div>Thanks in advance :) and happy coding.</div><div><br></div><div>[1] <a href="https://github.com/zaproxy/zaproxy/issues/4105" target="_blank" rel="noreferrer">https://github.com/zaproxy/zaproxy/issues/4105</a> </div><div>[2] <a href="https://kajanm.github.io/gsoc.html" target="_blank" rel="noreferrer">https://kajanm.github.io/gsoc.html</a></div><div>[3] <a href="https://docs.google.com/document/d/1LSg8CMb4LI5yP-8jYDTVJw1ZIJD2W_WDWXLtJNk3rsQ/edit?usp=sharing" target="_blank" rel="noreferrer">https://docs.google.com/document/d/1LSg8CMb4LI5yP-8jYDTVJw1ZIJD2W_WDWXLtJNk3rsQ/edit?usp=sharing</a></div><div><br></div><div>Cheers,</div><div>Kajan</div></div><span class="m_-2034777946880763698m_-5371291558129997884m_269773882558900498m_-3231136339621355697HOEnZb"><font color="#888888">

<p></p>

-- <br>
You received this message because you are subscribed to the Google Groups "OWASP ZAP Developer Group" group.<br>
To unsubscribe from this group and stop receiving emails from it, send an email to <a href="mailto:zaproxy-develop+unsubscribe@googlegroups.com" target="_blank" rel="noreferrer">zaproxy-develop+unsubscribe@googlegroups.com</a>.<br>
To view this discussion on the web, visit <a href="https://groups.google.com/d/msgid/zaproxy-develop/fd2397e7-6832-44ea-aee9-ed780625e940%40googlegroups.com?utm_medium=email&utm_source=footer" target="_blank" rel="noreferrer">https://groups.google.com/d/msgid/zaproxy-develop/fd2397e7-6832-44ea-aee9-ed780625e940%40googlegroups.com</a>.<br>
For more options, visit <a href="https://groups.google.com/d/optout" target="_blank" rel="noreferrer">https://groups.google.com/d/optout</a>.<br>
</font></span></div><br><br clear="all"><br>-- <br><div class="m_-2034777946880763698m_-5371291558129997884m_269773882558900498m_-3231136339621355697gmail_signature" data-smartmail="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank" rel="noreferrer">OWASP ZAP</a> Project leader<br></div>
</div></div></div><span>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank" rel="noreferrer">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</span></blockquote></div>
</blockquote></div></div><div class="gmail_extra"><br><br clear="all"><br>-- <br><div class="m_-2034777946880763698m_-5371291558129997884gmail_signature" data-smartmail="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank" rel="noreferrer">OWASP ZAP</a> Project leader<br></div>
</div>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank" rel="noreferrer">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div></div>-- <br><div dir="ltr" class="m_-2034777946880763698gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><pre style="white-space:pre-wrap;color:rgb(136,136,136)"><pre style="white-space:pre-wrap">Sherif Mansour
OWASP Global Board Member & OWASP London Chapter Leader <br>Site: <a href="https://www.owasp.org/index.php/London" style="color:rgb(17,85,204)" target="_blank" rel="noreferrer">https://www.owasp.org/index.php/London</a><br>Email: <a href="mailto:sherif.mansour@owasp.org" style="color:rgb(17,85,204)" target="_blank" rel="noreferrer">sherif.mansour@owasp.org </a>
Follow OWASP London Chapter on Twitter: <a href="https://twitter.com/OWASPLondon" target="_blank" rel="noreferrer">@owasplondon </a>
"Like" us on Facebook: <a href="https://www.facebook.com/OWASPLondon" style="color:rgb(17,85,204)" target="_blank" rel="noreferrer">https://www.facebook.com/OWASPLondon</a>
Subscribe to our (lightweight) mailing list: <a href="https://lists.owasp.org/mailman/listinfo/owasp-london" style="color:rgb(17,85,204)" target="_blank" rel="noreferrer">https://lists.owasp.org/mailman/listinfo/owasp-london</a> </pre></pre></div></div>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank" rel="noreferrer">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div>