[Pentest] 使用 ZAP 的 HTTPS Proxy 時,Dropbox 無法連線?
之前用過 OWASP ZAP 做滲透測試,找尋網站可能的弱點。
ZAP 同時也可以做為一個 HTTP Proxy,
用來攔截所有 HTTP/HTTPS 的連線,
方便檢視與修改連線內容,好達成攻擊網站弱點的目的。
不過,之前在開啟 ZAP 的 HTTP Proxy 之後,
忽然發現 Dropbox 的連線壞掉了:
從錯誤訊息來看,Dropbox 無法建立安全連線,
這是怎麼回事呢?
原來是因為 ZAP 在做 HTTPS Proxy 時,
會使用自己的一張 SSL 憑證來攔截 HTTPS 連線,
但這張憑證還沒有被系統信任,
因此會檢查伺服器端 SSL 憑證的 app (如 Dropbox) 就會拒絕連線了~
解決方法也很簡單,
打開 Mac 上的 Keychain Access > Login > Certificates,
找到 OWASP Zed Attack Proxy Root CA,
可以發現它目前是不被信任 (not trusted) 的狀態:
雙擊這個項目,把它改成永遠信任 (Always Trust):
紅色警告消失了,看起來好多了:
這時 Dropbox 的連線也恢復囉~
如果用瀏覽器去瀏覽 HTTPS 網站 (如 https://www.whitehouse.gov),
HTTPS 連線看起來也會是正常的~
在 SSL 憑證圖示那邊點兩下,
會發現是透過 ZAP Root CA 發行的憑證來連線的:
這樣就能在一邊開啟 ZAP 測試的情況下,
一邊讓 Dropbox 等服務可以正常運作啦~^^
(本頁面已被瀏覽過 758 次)