安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置
ZAP本地代理设置
如前文所言,ZAP的工作机制,是通过“中间代理”的形式实现。

ZAP的代理设置可以从菜单中的:工具 - 选项 - Local Proxies加载。
在这里可以设置ZAP用来接受接入请求的地址和端口等。

地址
ZAP将要使用的本地地址。所有的可用地址都会被自动检测到并且列出。
无特殊要求可以直接使用localhost或127.0.0.1。
端口
ZAP将会监听的端口,默认8080。如与本机其他服务端口冲突(比如tomcat也是默认使用8080)可以修改使用其他端口。
基本上配置好地址和端口,ZAP的代理就已经设置完毕可以开始监听了。除此之外还有几项设置:
Behind NAT
表明ZAP本地代理将会使用NAT模式。选择此项后,ZAP会尝试确定公网IP,以检测和处理从公网IP接入的请求。
这个选项只对以服务(API)模式应用ZAP时有效。
Remove Unsupported Encodings
允许代理将不支持的编码从"Accept-Encoding"请求头中移除,这样代理不会对响应做出转码。
如非专门测试转码,此选项应始终保持勾选。
使用不支持的编码的信息将不会被扫描(主动、被动都不会)。
Security Protocols
允许选择接入连接(比如浏览器)可使用的SSL/TLS版本。最少需要选择一个版本,而且不被JRE支持的版本将不能选择。
SSLv2Hello协议必须与其他SSL/TLS结合使用。
以上的设置对于主代理和附加代理都生效。
附加代理
在附加代理模块,我们可以按照需求添加更多的代理地址和端口让ZAP进行监听。
拦截代理/透明代理
ZAP本地代理也可以被设置为拦截/透明代理。透明代理一般用来将内网请求进行拦截再转发,比如常见的上网监控管理就是使用拦截代理实现。
比如,你有一台测试用的Linux机器,那么通过以下命令可以把所有HTTP和HTTPS路由到ZAP的监听地址(例:172.16.100.38:8080):
iptables -t nat -A OUTPUT -p tcp --dport -j DNAT --to-destination 172.16.100.38:
iptables -t nat -A OUTPUT -p tcp --dport -j DNAT --to-destination 172.16.100.38:
客户端代理设置
Chrome (on Windows)
- 点击右上角“自定义及控制chrome”
- 选择“设置”
- 选择“高级”
- 选择“打开代理设置”
- 然后按照局域网设置
Firefox (on Windows)
- 打开“菜单-选项”
- 选择“高级”
- 选择“网络”
- 选择“连接-设置”
- 选择“手动配置代理”
- 填入ZAP本地代理地址和端口
- 勾选“为所有协议使用相同代理”

Windows局域网代理
- 打开“Ineternet选项-连接”
- 点击“局域网设置”
- 选择“为LAN使用代理服务器”
- 填入ZAP本地代理地址和端口

安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置的更多相关文章
- 安全性测试:OWASP ZAP使用入门指南
免责声明: 本文意在讨论使用工具来应对软件研发领域中,日益增长的安全性质量测试需求.本文涉及到的工具不可被用于攻击目的. 1. 安全性测试 前些天,一则12306用户账号泄露的新闻迅速发酵,引起了购票 ...
- 安全性测试:OWASP ZAP 2.8 使用指南(四):ZAP扫描移动应用安全
在做移动应用(APP,小程序等)测试时,需要关注应用安全性. ZAP是可以用来进行手机移动应用渗透性测试扫描的. 正因为ZAP是采用“中间代理”的形式,截取并扫描所有客户端与服务器的交互请求,作为客户 ...
- 安全性测试:OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载、安装
概览 本文意在对于OWASP's Zed Attack Proxy(ZAP)软件做一个基本使用指南介绍. ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用. 为了达到这 ...
- OWASP固件安全性测试指南
OWASP固件安全性测试指南 固件安全评估,英文名称 firmware security testing methodology 简称 FSTM.该指导方法主要是为了安全研究人员.软件开发人员.顾问. ...
- 安全性测试入门:DVWA系列研究(一):Brute Force暴力破解攻击和防御
写在篇头: 随着国内的互联网产业日臻成熟,软件质量的要求越来越高,对测试团队和测试工程师提出了种种新的挑战. 传统的行业现象是90%的测试工程师被堆积在基本的功能.系统.黑盒测试,但是随着软件测试整体 ...
- 安全性测试入门 (五):Insecure CAPTCHA 验证码绕过
本篇继续对于安全性测试话题,结合DVWA进行研习. Insecure Captcha不安全验证码 1. 验证码到底是怎么一回事 这个Captcha狭义而言就是谷歌提供的一种用户验证服务,全称为:Com ...
- 初识App安全性测试
目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可 ...
- Web系统测试Web安全性测试
WEB安全性测试介绍WEB安全性测试--拒绝服务攻击WEB安全性测试--文件上传漏洞WEB安全性测试--跨站攻击WEB安全性测试--SQL注入一WEB安全性测试--SQL注入二WEB安全性测试--SQ ...
- 安全性测试入门:DVWA系列研究(二):Command Injection命令行注入攻击和防御
本篇继续对于安全性测试话题,结合DVWA进行研习. Command Injection:命令注入攻击. 1. Command Injection命令注入 命令注入是通过在应用中执行宿主操作系统的命令, ...
随机推荐
- html页面中关于按钮type的要求
重要事项:如果在 HTML 表单中使用 button 元素,不同的浏览器会提交不同的值.Internet Explorer 将提交 <button> 与 </button> 之 ...
- 写论文的第三天 自建zookeeper集群
日志___2019.1.25 基于hadoop集群搭建zookeeper集群 Filezilla上传zookeeper压缩包到主节点 安装zookeeper到/usr/local目录 命令:tar – ...
- 初学html总结
2019-08-17 17:58:49 html:超文本标记语言,用于网页结构的搭建 html语言构成:由标签.属性.属性值构成 标签:" < "后面第一个单词 属性:标签后 ...
- 重读《学习JavaScript数据结构与算法-第三版》- 第6章 链表(一)
定场诗 伤情最是晚凉天,憔悴厮人不堪言: 邀酒摧肠三杯醉.寻香惊梦五更寒. 钗头凤斜卿有泪,荼蘼花了我无缘: 小楼寂寞新雨月.也难如钩也难圆. 前言 本章为重读<学习JavaScript数据结构 ...
- slice splice(数组) 和 slice substr substring split (字符串)的区别
array.slice(start,end)slice()如果不传入参数二,那么将从参数一的索引位置开始截取,一直到数组尾如果两个参数中的任何一个是负数,array.length会和它们相加 stri ...
- HBase的安装和使用
文章作者:foochane 原文链接:https://foochane.cn/article/2019062801.html 1 Hbase基本介绍 Hbase是一个分布式数据库,可以提供数据的实时 ...
- 微信小程序 es6-promise.js封装请求 处理异步进程
下载es6-promise.js置于根目录下的libs文件夹下: 在根目录utils文件夹下新建httpsPromisify.js,即定义封装请求的方法 var Promise = require(' ...
- JavaScript Array 数组方法汇总
JavaScript Array 数组方法汇总 1. arr.push() 从后面添加元素,返回值为添加完后的数组的长度 var arr = [1,2,3,4,5] console.log(arr.p ...
- Spring Cloud Alibaba | Nacos动态网关路由
Spring Cloud Alibaba | Gateway基于Nacos动态网关路由 本篇实战所使用Spring有关版本: SpringBoot:2.1.7.RELEASE Spring Cloud ...
- C#开发BIMFACE系列12 服务端API之文件转换
系列目录 [已更新最新开发文章,点击查看详细] 在代表模型的源文件上传到BIMFACE后,一般会进行三种API调用操作: 发起模型转换 查询转换状态 如转换成功,获取模型转换后的BIM数据 在 ...