Https OWASP ZAP连接被拒绝:连接(502-坏网关)
我正在尝试使用OWASP ZAP代理与我维护的网站的连接。 然而,尽管代理正在为其他站点(https和http)连接工作,但我实际上想要分析的站点只返回一条502-坏网关消息,其中包含以下文本:Https OWASP ZAP连接被拒绝:连接(502-坏网关),https,proxy,owasp,zap,bad-gateway,Https,Proxy,Owasp,Zap,Bad Gateway,我正在尝试使用OWASP ZAP代理与我维护的网站的连接。 然而,尽管代理正在为其他站点(https和http)连接工作,但我实际上想要分析的站点只返回一条502-坏网关消息,其中包含以下文本: ZAP Error [java.net.ConnectException]: Connection refused: connect Stack Trace: java.net.ConnectException: Connection refused: connect at java.net.
ZAP Error [java.net.ConnectException]: Connection refused: connect
Stack Trace:
java.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.connect0(Native Method)
at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)
at java.net.AbstractPlainSocketImpl.doConnect(Unknown Source)
at java.net.AbstractPlainSocketImpl.connectToAddress(Unknown Source)
at java.net.AbstractPlainSocketImpl.connect(Unknown Source)
at java.net.PlainSocketImpl.connect(Unknown Source)
at java.net.SocksSocketImpl.connect(Unknown Source)
at java.net.Socket.connect(Unknown Source)
at sun.security.ssl.SSLSocketImpl.connect(Unknown Source)
at sun.security.ssl.SSLSocketImpl.<init>(Unknown Source)
at sun.security.ssl.SSLSocketFactoryImpl.createSocket(Unknown Source)
at org.parosproxy.paros.network.DecoratedSocketsSslSocketFactory.createSocket(Unknown Source)
at org.parosproxy.paros.network.SSLConnector.createSocket(Unknown Source)
at org.apache.commons.httpclient.HttpConnection.open(Unknown Source)
at org.apache.commons.httpclient.MultiThreadedHttpConnectionManager$HttpConnectionAdapter.open(MultiThreadedHttpConnectionManager.java:1361)
at org.apache.commons.httpclient.HttpMethodDirector.executeWithRetry(Unknown Source)
at org.apache.commons.httpclient.HttpMethodDirector.executeMethod(Unknown Source)
at org.apache.commons.httpclient.HttpClient.executeMethod(HttpClient.java:397)
at org.parosproxy.paros.network.HttpSender.executeMethod(Unknown Source)
at org.parosproxy.paros.network.HttpSender.runMethod(Unknown Source)
at org.parosproxy.paros.network.HttpSender.send(Unknown Source)
at org.parosproxy.paros.network.HttpSender.sendAuthenticated(Unknown Source)
at org.parosproxy.paros.network.HttpSender.sendAndReceive(Unknown Source)
at org.parosproxy.paros.network.HttpSender.sendAndReceive(Unknown Source)
at org.parosproxy.paros.core.proxy.ProxyThread.processHttp(Unknown Source)
at org.parosproxy.paros.core.proxy.ProxyThread.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
鉴于ZAP正在为其他网站工作,我对这里可能出现的问题感到困惑,有人能帮忙吗?我看到防火墙显然有特定的规则来阻止ZAP,例如通过检查默认的ZAP用户代理。 这个问题在这里不太可能出现,但你仍然可能遇到类似的问题。 尝试从ZAP中重新发送请求,同时调整标题 另一种可能是它检查了ZAP根证书中的某些内容,例如DN。您可以将自己的根证书导入ZAP-尝试使用与ZAP完全不同的设置。
如果这不起作用,我们将继续尝试不同的事情——这将有一个解决方案;) 我偶然发现了一个可行的解决办法 因为我不确定我在ZAP中看到的请求是从浏览器收到的请求还是转发的请求(或者两者都是)。一、 因此,我不确定我在Fiddler中检查请求是否有效 所以我设置ZAP将所有请求转发给同一台机器上的Fiddler,这样我就可以确切地确定发送的是什么 一旦我这样做了,我就能够访问该网站,并在Fiddler和ZAP中记录请求/响应
基于此,我将同意Psinion的建议,即来自ZAP的请求链中的某个地方被一些安全/防火墙规则阻止。由于我无法控制这些问题,除了从网络人员那里发出含糊不清的咕哝声之外,我将继续使用我的可行解决方案。似乎网络安全/防火墙是最有可能的罪魁祸首。发布解决方案作为回答:感谢您让我们都知道:)
GET https://nottellingyou.net/ HTTP/1.1
Host: nottellingyou.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
DNT: 1
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0