我正在本地主机服务器上测试 SSL。
地址栏显示HTTPS,看来HTTPS通讯成功
但是,当我使用 ZAP 中断请求和响应时,看到它们的内容只是纯文本。
这是正确的做法吗?
最佳答案
由于 URL 的 https 部分有一条红线,我猜您是从 ZAP 启动浏览器的。当您这样做时,ZAP 会将浏览器配置为通过 ZAP 代理并忽略证书警告。 ZAP 然后可以使用其 CA 证书拦截并重新签署请求。
关于SSL数据包监控,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52066955/
相关文章:
testing - 在 ZAP 或 Burp Suite 中对 Angular JS 应用程序进行渗透测试
security - zed攻击代理工具错误: JVM_bind
java - 我们可以挑出一个警报(例如 "Web Browser XSS Protection Not Enabled")并在 ZAP 代理中重新运行吗
ssl - 引用网站在 Ubuntu 上正确使用端口 8080,使用带 SSL 的 Nginx
java - 无法使用 Vert.x 通过 TLS 连接到主机
mysql - docker下带有外部数据库的Apache Guacamole需要SSL数据库连接
docker - 带有容器的 Jenkins Docker Sidecar 运行守护程序命令
ssl - 无法选择自定义 SSL 证书(存储在 AWS IAM 中)