Ang OWASP ZAP ay pinapayagan kang makitang malinaw ang descrypt SSL na koneksyon. Sa pag gawa nito, ang AP ay mayroong encrypt sa bawat kahilingan bago ipasa sa server at derypt sa bawat sagot, kung saan ito ay bumabalik. Ngunit, ito ay kasalukuyang tapos na ng browser. Kaya nga, ang tanging paraan upang i-decrypt o maharang ang pag send o pag hatid ay upang gawin ang isang 'tao sa gitna' ('man in the middle') na diskarte.

Sa maikling mga salita, ang lahat ng datos na sinesend o pinpasa kay at ang mga nirerecieve o tinatanggap galing kay ay naka encrypt/naka decrypt sa pamamagitan ng pag gamit ng orihinal na katunayan ng server sa loob ng ZAP. Sa ganitong paraan. Ang ZAP ay alam ang malinaw ng teksto. Para maisagawa ang Protektadong sesyon ng SSL mula sa iyo (browser mo), Gagamitin ng ZAP ang sariling katunayan. Ito ang isa sa kaya mong likhain o gawin. Ang bawat katunayan na ginawa ng ZAP ay pipirmahan ng kaparehong pangalan ng server. Sa halimbawa sa itaas, ang ZAP ay gagawa ng katunayan para sa mga pangalan ng server "www.example.com". Sa ganitong paraan. ang iyong browser ay gagawin ang regular ng SSL encryption.

Imagine you're visiting multiple SSL protected sites. Sa tuwing ang iyong browser ay kumokonek sa katulad ng site, ang katunayan bagong SSL ay magagawa. Ngunit, ang katunayan na ito ay hindi pinagkakatiwalaan ng lahat (dahil sa ito ay sariling gawa ng ZAP). Sa madaling salita. ang browser ay hindi tanggap sa sa ibang katunayan sa kabilang banda. Siguro'y pamilyar ka sa mga sitwasyong ito, kung ang yong browser ay nag reklamo sa katunayan o sa sertipiko kung mali pero manwal mong ginawa ito ay isang eksepsyon sa mga rules o tuntunin sa server.

Ang mga sertipikasyon o mga katunayan ay gawa ng ZAP ay direktang nkakadena sa pagtitiwala kay "ZAP" ugat o Root CA" sertipikasyon. (Para sa mas maraming pang detalye para sa kadena ng pagtitiwala o sa chain of trust, gamitin ang iyong paboritong search engine ;-) ) Ibig sabihin. ikaw (ang iyong browser) ay una na nagtitiwala lamang sa ZAP Root CA. Sa madaling salita, Kapag ikaw ay nagdagdag ng katunayan ng ZAP Root CA sa iyong listahan ng pinagkakatiwalaan Root CAs, ang iyong browser ay hindi kilala ng gitnang tao o ang man in the middle.

Kung ikaw ay unang beses pa lamang ng pag gamit ng ZAP, kailangan mong bumuo o gumawa katunayan ng Root CA. Kapag nakagawa ka na, kailangan iinstall ito sa iyong browser o sa aplikasyon ng kliyente sa HTTP. Tignan ang seksyon installation para sa mas marami pang detalye.

Sa tuwing mag gegenerate ka ng katunayan ng Root CA ito ay balido lamang ng isang taon. Pagkatapos ng panahon na mayroon ka sa pag gawa ng bago. Ang lahat ng nagenerate na sertipikasyon ng Root CA ay may lakas na 2048 bit(RSA with SHA1). Ang lahat ng na generate na sertipikasyon ng Root CA na may serial na numero "1". Sa lahat ng nagenerate na sertipikasyon ng Root CA ay naglalaman ng mga sumusunod ng mga tagapagkilala:

CN = OWASP Zed Attack Proxy Root CA L = 87b77fe834b0a301 O = OWASP Root CA OU = OWASP ZAP Root CA C = XX

Kung mapapansin mo, mayroon itong tagahanap ng lokasyon o "Location Identifier (L) kung saan ito ay hexadecimal na numero lamang. Ang numerong ito ay gawa sa dalawang 32bit ng hash ng mga code: user's name o ang pangalan ng gumagamit at ang user's home directory o ang bahay ng derektoryo ng gumagamit. Sa ganitong paraan ay magagawa mong malaman ang sariling sertipikasyon gamit ang maraming installation. Pero walang paraan, na ang lahat ay kayang malaman ang iyong pangalan gamit ang hash code.

Kapag gumagamit ka ng maraming pag lagay ng ZAP at gusto mong gamitin ang parehong Root CA na sertipikasyon, kaya maaari mo itong i-angkat o kuhain. Gamitin lamang ang isang pag-install ng OWASP ZAP para guamawa ng isang sertipiko ng Root CA. Kopyahin ang file na 'OWASP ZAP/config. xml' mula sa direktoryo ng iyong mga user sa PC, kung saan gusto mong gamitin ang parehong sertipikasyon at pindutin ang 'import' upang i-angkat ito.

Maari mo ring iimport ang sertipikasyon na naka stored sa itom pem files hanggat ito ay magkasama. ang sertipikasyon ang ang pribadong encrpyted na key ay sa sumusunod na pormat. -----BEGIN CERTIFICATE----- MIIC9TCCAl6gAwIBAgIJANL8E4epRNznMA0GCSqGSIb3DQEBBQUAMFsxGDAWBgNV BAoTD1N1cGVyZmlzaCwgSW5jLjELMAkGA1UEBxMCU0YxCzAJBgNVBAgTAkNBMQsw CQYDVQQGEwJVUzEYMBYGA1UEAxMPU3VwZXJmaXNoLCBJbmMuMB4XDTE0MDUxMjE2 MjUyNloXDTM0MDUwNzE2MjUyNlowWzEYMBYGA1UEChMPU3VwZXJmaXNoLCBJbmMu MQswCQYDVQQHEwJTRjELMAkGA1UECBMCQ0ExCzAJBgNVBAYTAlVTMRgwFgYDVQQD Ew9TdXBlcmZpc2gsIEluYy4wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOjz Shh2Xxk/sc9Y6X9DBwmVgDXFD/5xMSeBmRImIKXfj2r8QlU57gk4idngNsSsAYJb 1Tnm+Y8HiN/+7vahFM6pdEXY/fAXVyqC4XouEpNarIrXFWPRt5tVgA9YvBxJ7SBi 3bZMpTrrHD2g/3pxptMQeDOuS8Ic/ZJKocPnQaQtAgMBAAGjgcAwgb0wDAYDVR0T BAUwAwEB/zAdBgNVHQ4EFgQU+5izU38URC7o7tUJml4OVoaoNYgwgY0GA1UdIwSB hTCBgoAU+5izU38URC7o7tUJml4OVoaoNYihX6RdMFsxGDAWBgNVBAoTD1N1cGVy ZmlzaCwgSW5jLjELMAkGA1UEBxMCU0YxCzAJBgNVBAgTAkNBMQswCQYDVQQGEwJV UzEYMBYGA1UEAxMPU3VwZXJmaXNoLCBJbmMuggkA0vwTh6lE3OcwDQYJKoZIhvcN AQEFBQADgYEApHyg7ApKx3DEcWjzOyLi3JyN0JL+c35yK1VEmxu0Qusfr76645Oj 1IsYwpTws6a9ZTRMzST4GQvFFQra81eLqYbPbMPuhC+FCxkUF5i0DNSWi+kczJXJ TtCqSwGl9t9JEoFqvtW+znZ9TqyLiOMw7TGEUI+88VAqW0qmXnwPcfo= -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- MIICXgIBAAKBgQDo80oYdl8ZP7HPWOl/QwcJlYA1xQ/+cTEngZkSJiCl349q/EJV Oe4JOInZ4DbErAGCW9U55vmPB4jf/u72oRTOqXRF2P3wF1cqguF6LhKTWqyK1xVj 0bebVYAPWLwcSe0gYt22TKU66xw9oP96cabTEHgzrkvCHP2SSqHD50GkLQIDAQAB AoGBAKepW14J7F5e0ppa8wvOcUU7neCVafKHA4rcoxBF8t+P7UhiMVfn7uQiFk2D K8gXyKpLcEdRb7K7CI+3i8RkoXTRDEZU5XPMJnZsE5LWgNQ+pi3HwMEdR0vD2Iyv vIH3tq6mNKgDu+vozm8DWsEP96jrhVbo1U1rzyEtX46afo79AkEA/VXanGaqj4ua EsqfY6n/7+MTm4iPOM7qfoyI4EppJXZklc/FbcV2lAjY2Jl9U6X7WnqCPn+/zg44 6lKWTnhAawJBAOtmi6nw8WjY6uyXZosE/0r4SkSSo20EJbBCJcgdofKT+VCGB4hp h6XwGdls0ca+qa5ZE1a196dpwwVre0hm88cCQQDrUm3QbHmw/39uRzOJs6dfYPKc vlwz69jdFpQqrFRBjVlf4/FDx3IfjpxHj0RgiEUUxcnoXmh/8qwh1fdzCrbjAkB4 afg/chTLQUrKw5ecvW2p9+Blu20Fsv1kcDHLb/0LjU4XNrhbuz+8TlmqstOMCrPZ j48o5+RLKvqrpxNlMeS5AkEA6qIdW/yp5N8b1j2OxYZ9u5O//BvspwRITGM60Cps yemZE/ua8wm34SKvDHf5uxcmofShW17PLICrsLJ7P35y/A== -----END PRIVATE KEY----- At oo iyan ang ehemplong gagana - ito ay ang sertipikasyon ng Superfish!

Sa mga opsyonal sa dayalogo ng ZAP ikaw nakakakita ng raw bytes (hexadecimal encoded) mg sertipiko. Ang Opsonal "tingin "sinusubukan ang pag gamit ng deafault system ng pag tingin na gamit sa ".CER"na files. Sa windows, ito ay tipikal na nagkakapareho. sa pag exxport ng sertipikasyon at sa dobleng pag pindot dito.

Sa mga opsyonal na dayalogo ng ZAP ikaw ay nakakakita ng raw bytes (dexadecimal encoded) sa mga sertipikasyon. Marami sa mga programa ay gumagamit ng simpleng pormat sa pag import/ pag export. Kapag pinindot ang écpor't', ang bytes ay masesave sa disk. Ito ay pantay sa pag select ng lahat ng mga gawa ang CTRL+C(copy to clipbioard) at ang pag save sa bagong .CER na file (na ang simpleng teksto ay makikita mo sa dayalogo/).

Sa bawat ZAP ay may pagkakataong gumamit ng sariling sertipikasyon ng Root. Siyempre, ikaw rin Pag import root ng sertipikasyon, para magamit sila sa maraming makina. Kapag ginagamit, magkakaroon ng sub-certificated sa oras ng HTTPS. hinihiling na may pagkukunan. Ibig sabihin ang Root CA na katunayan o sertipikasyon ay gamit ng may ari.

Ang bawat daynamikong nabuo ng sertipiko ay may bisa sa 1000 araw. Ang bawat daynamikong nabuo ng sertipiko ay 2048 bit strong (RSA na may SHA1). Ang bawat daynamikong nabuo ng sertipiko ay may random na serial numero. Sa bawat daynamikong na generate ng sertipikassyon ay naglalaman ng mga sumusunod ng pagkakakilanlan:

CN = www.example.com E = [email protected] C = XX O = OWASP OU = Zed Attack Proxy Project

Gilid na sulat: Sa tuwing mag iistart ng ZAP, Sa loob ng isang random na serial na numero ay offset ay nabuo. Context | Request Context. Ang daynamika na nagenerate ng sertipikasyon ay ma ooffset dagdag pa nito ang pagtaas ng pag bilang. Halimbawa, mayroon nang unang daynamikong sertipiko ang serial numero ay 2314, ang pangalawang isa 2315, ang ikatlong isa 2316 at iba pa. Ang rason para dito ay simple, ang browser ay isang sertipkong caching din. Kapag na-restart mo ang ZAP ngunit huwag mong i-restart ang browser, maaari itong mangyari, nakikita ng browser ang parehong sertipikasyon ngunit may iba't ibang serial numero. Sa bandang huli, ang browser ay mag co complain tungkol sa mga reject sa hindi tinanggap ng sertipikasyon. Sa pag gamit ng ilang mga offset na( internal ng 48bit at ilang numero ), ang tyansa. ay 1 to 281.474.976.710.656 kapag inulit sa umpisa ang ZAP, ang serial numero. ibang-iba ang offset. Kaya sa mga pambihirang kaso, natuklasan mo na ang browser mo ay nagreklamo isang sira na serial na numero sa loob ng sertipiko, i-restart lang ang iyong browser ;-) v.

Kahit na ang HTTPS na kliyente na gusto mong gumamit, ay kaialngang may alam sa OWASP Root CA na sertipikasyon o katunayan. Tipikal na meron kang manwal ng iinstall ang ZAP na katunayn sa iyong browser na listahan sa pinakakatiwalaang root na sertipikasyon.

Ang pinakamadaling paraan ay pindutin ang view at piliin ang 'I-install ang certificate'. Bilang kapalit, maaari mong i-save / i-export ang iyong nabuong sertipiko (kopyahin ito sa target mo na computer) at idoble ang pag pindot ng. Cer file. Kapag ginagawa ito, ang regular na Windows wizard para sa tulong sa pag-install ng sertipikasyon ay mag pa pop up. In this wizard manually choose the certificate store. Huwag hayaan ang Windows na pumili nang awtomatiko sa store ng sertipiko. Pumili ng 'pinagkakatiwalaang mga sertipiko ng root' bilang store at i-finalize ang wizard.

Matapos ang matagumapay ng pag install, maari mo nang icheck ang sertipikasyon mo.

1. Oumunta sa opsyonal na internet
2. I-tab ang nilalaman
3. Pindutin ang sertipikasyon
4. Pindutin ang tab na pinagkakatiwalaan na sertipikasyon ng root
5. Ang OWASP ZAP na root CA ay kailangang naroon

Ang Firefox ay gumagamit ng sariling sertipikasyon na store. Kayat kung bakit kailangan mong i-import ito nang dalawang beses, kapag gumagamit ka ng parehong browser sa mga windows,. Ang pag-install at huli sa pagpapatunay na tapos na sa parehong dayalogo ng mga kagustuhan:

1. Pumunta sa preferences
2. Tab Advanced
3. Tab Cryptography/Certificates
4. Pindutin ang View Certificates
5. Pindutin ang Authoties tab
6. Pindutin ang import at pumili ng mga nala saved owasp_zap_root_ca.cer file
7. Sa wizard ang napiling magtiwala sa sertipiko na ito upang kilalanin ang mga web site (tingnan ang mga kahon)
8. Tapusin ang wizard

Atensyon, may mga panganib! Kapag nagdadagdag ng self generated ROOT CA ang sertipikasyon sa iyong listahan ng mga pinagkakatiwalaang Mga sertipiko ng ugat, ang lahat ng may sertipiko ng root ay maaaring magpadala ng data sa iyong system (browser). Ibig sabihin kapag hindi mo sinusubukan sa isang ligtas na kapaligiran, ngunit sa produktibong mga makina, magkaroon ng kamalayan na binubuksan mo ang isang karagdagang pag-atake mga pwedeng magdala at magbigay ng mga virus sa iyong system.

Ma sertipiko

para sa SSL na sertipiko ng kleyente