1.OWASP ZAP
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。
也可以说ZAP是一个中间人代理。它能够获取你对Web应用程序发出的所有请求以及你从中收到的所有响应。
它即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。
2. 下载地址
OWASP ZAP 下载Welcome to ZAP!https://www.zaproxy.org/download/
3. Mac Chrome 代理配置
3.1 打开电脑 系统设置(System Preferences)-网络(Network)-WIFI高级(Advanced)-代理(Proxies)
进行图中设置,http/https都是127.0.0.1:8080,然后应用
3.2 打开ZAP- 设置 - 网络(Network)-本地代理(Local Proxies)
#由于手动测试时,网站会默认打开网址为HTTPS,所以还要进行如下设置!!重要!!!
3.3 取消测试时URL强制HTTPs通道
打开ZAP- 设置 - HUD- 取消所有的勾选
4 Chrome证书配置
4.1 打开ZAP- 设置 - Server Certificates - 保存(Save)
4.2 打开Chrome- 设置 - 隐私与安全(Privacy and security) - 安全(Security)-管理设备证书(Manage device certificates)- 点击 系统(System)- 证书(Certificates)
将刚刚保存的ZAP证书拖入其中
4.3 右键点击刚拖进去的证书- 获取信息(get info) - 信任(Trust)-选择 总是信任(Always Trust)
5 可以开始输入网址进行 自动/手动测试
参考链接:
OWASP ZAP mac版Chrome代理配置
ZAP adding unnecessary headers and redirecting to HTTPS for some reason · Issue #5790 · zaproxy/zaproxy · GitHub