18
13

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

OWASP ZAP 2.8.0経由でHTTPのサイト閲覧したいのに勝手にHTTPSになって困った

Posted at

解決方法

スクリーンショット 2019-08-14 16.02.29.png

HUDをOFFにする

公式の正誤情報でてました
https://www.sbcr.jp/support/15210/

経緯

  • 徳丸本(安全なWebアプリケーションの作り方)を進めていた。
  • ZAPをプロキシに設定してhttpでexample.jpにアクセスすると勝手にhttpsになる問題発生
  • 3.3 CORS(Cross-Origin Resource Sharing)33-001a:シンプルなリクエスト(CORS対応)から、Firefoxのコンソールに以下のようなエラーがでて、クロスサイトの通信ができなかった
    • (スキームが違うので別オリジンとなってしまうため当然だが)
混在アクティブコンテンツ “http://api.example.net/33/33-002a.php” の読み込みをブロックしました

HUDとは

ZAP経由でサイト閲覧した時に、画面上に色々表示してくれる機能
ZAP 2.8.0からHUDがデフォルト有効になった模様(追加された?)

スクリーンショット 2019-08-14 16.19.26.png

徳丸本の手順通りにFoxyProxyを使っていると以下のようにうまく表示されないかも

スクリーンショット 2019-08-14 16.13.07.png

原因の考察

HUDの表示は、ブラウザのHTMLにiframeで挿入されている
iframeのsrcはhttps://zap//zapCallBackUrl/以下略
httpのサイトにiframeでhttpsのサイトを埋め込むことはできないから(混合コンテンツ)
ZAPが勝手にhttpsで通信するようにしてるんじゃないかなあ

以上

18
13
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
18
13

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?