一. 普通HTTPS的网站
普通的HTTPS 的网站使用ZAP 自带的证书就可以解决问题,只需要安装ZAP 证书到代理机器上就可以了。不需要了解和知道真正的网站证书。
当我们给浏览器设置好代理后,需要把ZAP工具的证书导入到浏览器中。
1. 打开 Tools,Options 之后,查找 Dynamic SSL
Certificate.
2.然后把导出证书导入到浏览器的证书中。
3.导入后,设置好浏览器代理。重新启动ZAP和浏览器。
4.输入网址。如果有如下情况,请添加网址到例外网站中。或者在ZAP设置客户端证书的地方,不安全SSL网站也可以访问(见下张图),就可以安全测试了。
二. HSTS的网址
因为 OWASP 只支持p12 证书,所以需要用到openssl 把证书导出成p12 格式。
将cer.pem与key.pem合成一个pem:
cat cer.pem key.pem > cer_key.pem
或者可以通过在线合成www.myssl.cn/tools/merge… 转 p12,输入导出秘钥
openssl pkcs12 -export -in cer_key.pem -out zap.p12
或者cer_key.pem 转 cer
openssl x509 -outform der -in cer_key.pem -out zap.cer
然后将证书导入如下位置,就可用了。记得设置p12文件的密码哦。
快学习起来吧。
