OWASP ZAP 2.8.0経由でHTTPのサイト閲覧したいのに勝手にHTTPSになって困った
1763 ワード
解決方法
HUDをOFFにする
公式の正誤情報でてました
https://www.sbcr.jp/support/15210/
経緯
- 徳丸本(安全なWebアプリケーションの作り方)を進めていた。
- ZAPをプロキシに設定してhttpで
example.jp
にアクセスすると勝手にhttpsになる問題発生
-
3.3 CORS(Cross-Origin Resource Sharing)
の33-001a:シンプルなリクエスト(CORS対応)
から、Firefoxのコンソールに以下のようなエラーがでて、クロスサイトの通信ができなかった
- (スキームが違うので別オリジンとなってしまうため当然だが)
混在アクティブコンテンツ “http://api.example.net/33/33-002a.php” の読み込みをブロックしました
HUDとは
example.jp
にアクセスすると勝手にhttpsになる問題発生3.3 CORS(Cross-Origin Resource Sharing)
の33-001a:シンプルなリクエスト(CORS対応)
から、Firefoxのコンソールに以下のようなエラーがでて、クロスサイトの通信ができなかった
- (スキームが違うので別オリジンとなってしまうため当然だが)
混在アクティブコンテンツ “http://api.example.net/33/33-002a.php” の読み込みをブロックしました
ZAP経由でサイト閲覧した時に、画面上に色々表示してくれる機能
ZAP 2.8.0からHUDがデフォルト有効になった模様(追加された?)
徳丸本の手順通りにFoxyProxyを使っていると以下のようにうまく表示されないかも
原因の考察
HUDの表示は、ブラウザのHTMLにiframeで挿入されている
iframeのsrcはhttps://zap//zapCallBackUrl/
以下略
httpのサイトにiframeでhttpsのサイトを埋め込むことはできないから(混合コンテンツ)
ZAPが勝手にhttpsで通信するようにしてるんじゃないかなあ
以上
Author And Source
この問題について(OWASP ZAP 2.8.0経由でHTTPのサイト閲覧したいのに勝手にHTTPSになって困った), 我々は、より多くの情報をここで見つけました https://qiita.com/zackey2/items/11a206e73dae5bd8c794著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .