Owasp Zap 能否用于通过 HTTPS 连接代理所有 http 和 https 流量？

Posted 2023-02-19

【中文标题】Owasp Zap 能否用于通过 HTTPS 连接代理所有 http 和 https 流量？

【英文标题】：Can Owasp Zap be used to proxy all http and https traffic through an HTTPS connection?

【发布时间】：2017-06-01 23:34:46

【问题描述】：

我刚刚开始使用 Zap，并且可以在 Firefox 和 Chrome 中成功运行它。

我也想用它来自动为非 https 网站提供 SSL 证书。

例如，我希望它能够提供服务

http://example.com

作为

https://example.com

即使 example.com 通常不会提供 SSL 证书。

这将允许我测试本地开发站点，而无需为它们创建自签名证书，也不必使用网络服务器配置证书。

我尝试将我的开发端口 (18000) 转发到端口 443，但我的网络服务器没有提供 SSL 证书，因此连接失败。我也用sni terminator zap 插件试过这个，但没有运气，虽然感觉超级接近！

有什么建议吗？

【问题讨论】：

有趣的用例 :) 您可以尝试使用 HttpSender 脚本来更改请求上的 https -> http，反之亦然。但是我不认为会导致ZAP实际上使用https。您也可以尝试在响应中注入 Strict Transport Security 标头，然后将其转换为 http。这将是一种或另一种方式，但不确定现在需要什么;）我会继续考虑......

@Psiinon - 对此还有什么想法吗？如果没有，那么您能否发表您的评论作为答案，这样我就可以奖励您积分 ;-) 谢谢！

【参考方案1】：

没有应用程序可以选择客户端通信的通信协议。 Web 服务器通信是严格由客户端驱动的，除了服务器重定向。为了让客户端从 http 和 http(s) 两个选项中选择 HTTP(s)，您可以在任何地方安装像 HTTP(s) 这样的浏览器插件，即使在浏览器中输入 http，也会首先寻找 https

【讨论】：

嘿！感谢您的反馈...这至少可以使用我目前使用的负载均衡器来完成（Apache Load Balancer，它为我生成 SSL 证书的任何站点代理 http 到 https）...但我想要看看我是否可以为此使用 Zap，因为那时我根本不必为任何网站生成证书，并且可以使用 Zap 的动态 SSL 证书生成。