Tôi vừa bắt đầu sử dụng Zap và đang chạy thành công trong Firefox và Chrome.Có thể sử dụng Owasp Zap để ủy quyền tất cả lưu lượng truy cập http và https thông qua kết nối HTTPS không?
Tôi muốn sử dụng nó để tự động phân phối chứng chỉ SSL cho các trang web không phải https.
Vì vậy, ví dụ, tôi muốn nó để có thể phục vụ
như
mặc dù example.com thường sẽ không phục vụ một cert SSL .
Điều này sẽ cho phép tôi kiểm tra các trang web phát triển địa phương mà không bao giờ tạo một chứng chỉ tự ký cho họ hoặc phải định cấu hình chứng chỉ với máy chủ web.
Tôi đã cố gắng chuyển tiếp cổng dev của tôi (18000) đến cổng 443, nhưng không có chứng chỉ SSL nào được máy chủ web của tôi phục vụ và kết nối không thành công. Tôi cũng đã thử điều này với plugin zap sni terminator không có may mắn, mặc dù nó cảm thấy như nó là siêu gần!
Mọi đề xuất?
Trường hợp sử dụng thú vị :) Bạn có thể thử sử dụng một kịch bản HttpSender để thay đổi https -> http theo yêu cầu và ngược lại trên phản hồi. Tuy nhiên tôi không _think_ đó sẽ kết quả nó ZAP thực sự sử dụng https. Bạn cũng có thể thử tiêm một tiêu đề [Bảo mật Giao thông Vận tải nghiêm ngặt] (https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security) trong phản hồi và sau đó chuyển đổi thành http. Nó sẽ là có thể bằng cách này hay cách khác, nhưng không chắc chắn chính xác những gì sẽ được yêu cầu ngay bây giờ;) Tôi sẽ tiếp tục suy nghĩ về nó ... –
@Psiinon - bất kỳ ý tưởng thêm về điều này? Nếu không, sau đó bạn có thể gửi bình luận của bạn như là một câu trả lời, vì vậy tôi có thể trao cho bạn những điểm ;-) Cảm ơn! –