关于流量代理劫持的软件通常用到的有brupsuite(用法网上很多,不赘叙)和下面要说的owasp_zap
本人觉得zap更易被小白接受,因为用法和brupsuite比更傻瓜式一些,下面分为几点进行阐述
代理设置:
我设置的8082端口(防止和burpsuite默认8080冲突) 浏览器对应的代理也设置为8082,过程略
证书设置:
CA的设置也是进入选项选择:
保存之后,同样在浏览器进行设置(略)
更新设置:
进入zap默认先看插件是否需要更新
最上面红圈为插件图标,第二个红圈为目前zap版本,这里我已更新到最新,需要更新时会出现提示需要在github上的zap官网下载第三个红圈为每个插件的更新提示符,需要更新时也会有高亮提示,这里我也已经全部更新
在市场界面下,安装优先级 Relese>Beta>Alpha
主动扫描:
前提是要做身份认证配置
通过访问域名的方式
Fuzzer攻击
页面发现:
法2:
通常用到的路径:
也可以自己写payload测试
补充:
这也是一种payload方式
扫描模式:
safe......免责