[Pentest] 使用 ZAP 的 HTTPS Proxy 時,Dropbox 無法連線?

[Pentest] 使用 ZAP 的 HTTPS Proxy 時,Dropbox 無法連線?

之前用過 OWASP ZAP 做滲透測試,找尋網站可能的弱點

ZAP 同時也可以做為一個 HTTP Proxy,

用來攔截所有 HTTP/HTTPS 的連線,

方便檢視與修改連線內容,好達成攻擊網站弱點的目的。

 

不過,之前在開啟 ZAP 的 HTTP Proxy 之後,

忽然發現 Dropbox 的連線壞掉了:

 

從錯誤訊息來看,Dropbox 無法建立安全連線,

這是怎麼回事呢?

原來是因為 ZAP 在做 HTTPS Proxy 時,

會使用自己的一張 SSL 憑證來攔截 HTTPS 連線,

但這張憑證還沒有被系統信任,

因此會檢查伺服器端 SSL 憑證的 app (如 Dropbox) 就會拒絕連線了~

 

解決方法也很簡單,

打開 Mac 上的 Keychain Access > Login > Certificates,

找到 OWASP Zed Attack Proxy Root CA,

可以發現它目前是不被信任 (not trusted) 的狀態:

 

雙擊這個項目,把它改成永遠信任 (Always Trust):

 

紅色警告消失了,看起來好多了:

 

這時 Dropbox 的連線也恢復囉~

如果用瀏覽器去瀏覽 HTTPS 網站 (如 https://www.whitehouse.gov),

HTTPS 連線看起來也會是正常的~

在 SSL 憑證圖示那邊點兩下,

會發現是透過 ZAP Root CA 發行的憑證來連線的:

 

這樣就能在一邊開啟 ZAP 測試的情況下,

一邊讓 Dropbox 等服務可以正常運作啦~^^

(本頁面已被瀏覽過 758 次)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料