携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第14天,点击查看活动详情
大家好,我是阿萨。上一次我们介绍了主动扫描 以及使用爬虫去做好主动扫描的教程。有些同学就说了, 现在大部分网站都开始使用HTTPS了,如何使用ZAP 来测试HTTPS的网站呢?今天我们就来介绍下HTTPS的扫描。
一. 普通HTTPS的网站
普通的HTTPS 的网站使用ZAP 自带的证书就可以解决问题,只需要安装ZAP 证书到代理机器上就可以了。不需要了解和知道真正的网站证书。
当我们给浏览器设置好代理后,需要把ZAP工具的证书导入到浏览器中。
1. 打开 Tools,Options 之后,查找 Dynamic SSL
Certificate.
2.然后把导出证书导入到浏览器的证书中。
- 导入后,设置好浏览器代理。重新启动ZAP和浏览器。
- 输入网址。如果有如下情况,请添加网址到例外网站中。或者在ZAP设置客户端证书的地方,不安全SSL网站也可以访问(见下张图),就可以安全测试了。
二. HSTS的网址
因为 OWASP 只支持p12 证书,所以需要用到openssl 把证书导出成p12 格式。
将cer.pem与key.pem合成一个pem:
cat cer.pem key.pem > cer_key.pem
或者可以通过在线合成www.myssl.cn/tools/merge… 合并的cer_key.pem 转 p12,输入导出秘钥
openssl pkcs12 -export -in cer_key.pem -out zap.p12
或者cer_key.pem 转 cer
openssl x509 -outform der -in cer_key.pem -out zap.cer
然后将证书导入如下位置,就可用了。记得设置p12文件的密码哦。
快学习起来吧。
