OWASP ZAP使用初探
一、使用ZAP抓取https流量包
为了能够抓取到https流量,首先要在在ZAP生成证书并导入浏览器中,点击Tools->Options->Dynamic SSL Certificates:
点击Save,保存到本地。接着导入证书以firefox为例,点击 首选项
依次点击 隐私与安全->查看证书:
点击 导入,选择刚才保存的ZAP证书导入:
查看证书列表,有如下证书表示导入成功:
二、ZAP抓包初探
首先设置ZAP本地代理,依次点击Tools->Options->Local Proxies,我设置的是127.0.0.1,端口是8082:
然后设置浏览器网络代理,以Firefox为例,点击首选项->网络代理设置:
选择手动代理配置,配置内容与之前设置的ZAP的本地代理一致:
然后随便访问网站即可抓包,这里以访问****主页为例:
得到了许多站点信息,这个可以用于渗透测试前期收集域名。