大家好,我是阿萨。上一次我们介绍了主动扫描 以及使用爬虫去做好主动扫描的教程。有些同学就说了, 现在大部分网站都开始使用HTTPS了,如何使用ZAP 来测试HTTPS的网站呢?今天我们就来介绍下HTTPS的扫描。
一. 普通HTTPS的网站
当我们给浏览器设置好代理后,需要把ZAP工具的证书导入到浏览器中。
1. 打开 Tools,Options 之后,查找 Dynamic SSL
Certificate.
2.然后把导出证书导入到浏览器的证书中。
3. 导入后,设置好浏览器代理。重新启动ZAP和浏览器。
4. 输入网址。如果有如下情况,请添加网址到例外网站中。或者在ZAP设置客户端证书的地方,不安全SSL网站也可以访问(见下张图),就可以安全测试了。
二. HSTS的网址
因为 OWASP 只支持p12 证书,所以需要用到openssl 把证书导出成p12 格式。
将cer.pem与key.pem合成一个pem:
cat cer.pem key.pem > cer_key.pem
或者可以通过在线合成https://www.myssl.cn/tools/merge-pem-cert.html 合并的cer_key.pem 转 p12,输入导出秘钥
openssl pkcs12 -export -in cer_key.pem -out zap.p12
或者cer_key.pem 转 cer
openssl x509 -outform der -in cer_key.pem -out zap.cer
然后将证书导入如下位置,就可用了。记得设置p12文件的密码哦。
快学习起来吧。
