關於流量代理劫持的軟件通常用到的有brupsuite(用法網上很多,不贅敘)和下面要說的owasp_zap
本人覺得zap更易被小白接受,因為用法和brupsuite比更傻瓜式一些,下面分為幾點進行闡述
代理設置:
我設置的8082端口(防止和burpsuite默認8080沖突) 瀏覽器對應的代理也設置為8082,過程略
證書設置:
CA的設置也是進入選項選擇:
保存之后,同樣在瀏覽器進行設置(略)
更新設置:
進入zap默認先看插件是否需要更新
最上面紅圈為插件圖標,第二個紅圈為目前zap版本,這里我已更新到最新,需要更新時會出現提示需要在github上的zap官網下載第三個紅圈為每個插件的更新提示符,需要更新時也會有高亮提示,這里我也已經全部更新
在市場界面下,安裝優先級 Relese>Beta>Alpha
主動掃描:
前提是要做身份認證配置
通過訪問域名的方式
Fuzzer攻擊
頁面發現:
法2:
通常用到的路徑:
也可以自己寫payload測試
補充:
這也是一種payload方式
掃描模式:
safe......免責