Owasp Zap 能否用于通过 HTTPS 连接代理所有 http 和 https 流量?

【问题标题】:Can Owasp Zap be used to proxy all http and https traffic through an HTTPS connection?Owasp Zap 能否用于通过 HTTPS 连接代理所有 http 和 https 流量?
【发布时间】:2017-06-01 23:34:46
【问题描述】:

我刚刚开始使用 Zap,并且可以在 Firefox 和 Chrome 中成功运行它。

我也想用它来自动为非 https 网站提供 SSL 证书。

例如,我希望它能够提供服务

http://example.com

作为

https://example.com

即使 example.com 通常不会提供 SSL 证书。

这将允许我测试本地开发站点,而无需为它们创建自签名证书,也不必使用网络服务器配置证书。

我尝试将我的开发端口 (18000) 转发到端口 443,但我的网络服务器没有提供 SSL 证书,因此连接失败。我也用sni terminator zap 插件试过这个,但没有运气,虽然感觉超级接近!

有什么建议吗?

【问题讨论】:

  • 有趣的用例 :) 您可以尝试使用 HttpSender 脚本来更改请求上的 https -> http,反之亦然。但是我不认为会导致ZAP实际上使用https。您也可以尝试在响应中注入 Strict Transport Security 标头,然后将其转换为 http。这将是一种或另一种方式,但不确定现在需要什么;)我会继续考虑......
  • @Psiinon - 对此还有什么想法吗?如果没有,那么您能否发表您的评论作为答案,这样我就可以奖励您积分 ;-) 谢谢!

标签: reverse-proxy owasp zap


【解决方案1】:

没有应用程序可以选择客户端通信的通信协议。 Web 服务器通信是严格由客户端驱动的,除了服务器重定向。为了让客户端从 http 和 http(s) 两个选项中选择 HTTP(s),您可以在任何地方安装像 HTTP(s) 这样的浏览器插件,即使在浏览器中输入 http,也会首先寻找 https

【讨论】:

  • 嘿!感谢您的反馈...这至少可以使用我目前使用的负载均衡器来完成(Apache Load Balancer,它为我生成 SSL 证书的任何站点代理 http 到 https)...但我想要看看我是否可以为此使用 Zap,因为那时我根本不必为任何网站生成证书,并且可以使用 Zap 的动态 SSL 证书生成。
猜你喜欢
  • 2012-11-23
  • 2019-05-20
  • 1970-01-01
  • 2013-06-22
  • 2018-12-01
  • 1970-01-01
  • 2023-02-01
  • 2016-09-15
  • 2012-11-16
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode