安全性測試：OWASP ZAP 2.8 使用指南（三）：ZAP代理設置

ZAP本地代理設置

如前文所言，ZAP的工做機制，是經過「中間代理」的形式實現。

 

ZAP的代理設置能夠從菜單中的：工具 - 選項 - Local Proxies加載。

在這裏能夠設置ZAP用來接受接入請求的地址和端口等。

 

 

地址

 ZAP將要使用的本地地址。全部的可用地址都會被自動檢測到而且列出。

無特殊要求能夠直接使用localhost或127.0.0.1。

 

端口

ZAP將會監聽的端口，默認8080。如與本機其餘服務端口衝突（好比tomcat也是默認使用8080）能夠修改使用其餘端口。

 

基本上配置好地址和端口，ZAP的代理就已經設置完畢能夠開始監聽了。除此以外還有幾項設置：

Behind NAT

 代表ZAP本地代理將會使用NAT模式。選擇此項後，ZAP會嘗試肯定公網IP，以檢測和處理從公網IP接入的請求。

這個選項只對以服務（API）模式應用ZAP時有效。

 

Remove Unsupported Encodings

 容許代理將不支持的編碼從"Accept-Encoding"請求頭中移除，這樣代理不會對響應作出轉碼。

如非專門測試轉碼，此選項應始終保持勾選。

使用不支持的編碼的信息將不會被掃描（主動、被動都不會）。

 

Security Protocols

 容許選擇接入鏈接（好比瀏覽器）可以使用的SSL/TLS版本。最少須要選擇一個版本，並且不被JRE支持的版本將不能選擇。

SSLv2Hello協議必須與其餘SSL/TLS結合使用。

 

以上的設置對於主代理和附加代理都生效。

 

附加代理

 

在附加代理模塊，咱們能夠按照需求添加更多的代理地址和端口讓ZAP進行監聽。

 

攔截代理/透明代理

ZAP本地代理也能夠被設置爲攔截/透明代理。透明代理通常用來將內網請求進行攔截再轉發，好比常見的上網監控管理就是使用攔截代理實現。

好比，你有一臺測試用的Linux機器，那麼經過如下命令能夠把全部HTTP和HTTPS路由到ZAP的監聽地址（例：172.16.100.38:8080）：

iptables -t nat -A OUTPUT -p tcp --dport 443 -j DNAT --to-destination 172.16.100.38:8080
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 172.16.100.38:8080

 

 

 

客戶端代理設置

Chrome (on Windows)

• 點擊右上角「自定義及控制chrome」
• 選擇「設置」
• 選擇「高級」
• 選擇「打開代理設置」
• 而後按照局域網設置

 

Firefox (on Windows)

• 打開「菜單-選項」
• 選擇「高級」
• 選擇「網絡」
• 選擇「鏈接-設置」
• 選擇「手動配置代理」
• 填入ZAP本地代理地址和端口
• 勾選「爲全部協議使用相同代理」

   

 Windows局域網代理

• 打開「Ineternet選項-鏈接」
• 點擊「局域網設置」
• 選擇「爲LAN使用代理服務器」
• 填入ZAP本地代理地址和端口