java - ChromeDriver 未通过 Java ZAP API 代理本地流量
问题描述
我对 ZAP 很陌生,我必须使用 ZAP java API 在 Web 应用程序上执行安全测试,使用 Selenium 在浏览器上导航,为 ZAP 创建流量。我正在使用 Eclipse IDE for Enterprise Java Developers 版本 2019-03 (4.11.0) 和 Java jdk-1.8.0_212 和 Maven 3.5.3,以及 3 个导入的库:harlib 版本 1.1.1 (edu.umass.cs.benchlab harlib )、zap api 版本 1.7.0 (org.owasp zaproxy-api) 和代理版本 2.4.2 快照 (net.continuumsecurity zap-java-api)
我遵循了本教程:https ://dzone.com/articles/automate-zap-security-tests-with-selenium-webdrive-1 ,它有效。回顾一下,它使用了 3 个类:一个用于实例化 Web 浏览器 (BrowserDriverFactory.java),一个用于实际存储所有导航功能和参数 (WebSiteNavigation.java),另一个用于创建 ZAP 代理,对其进行配置并执行安全测试作为@Test 函数(ZapSecurityTest.java)。
我在代理我的本地应用程序时遇到了一点问题::我的本地应用程序似乎不使用 ZAP 代理,即使我的 chromedriver 非常了解代理(我在 ZAP UI 中看到非本地流量)。奇怪的是,我什至明确地将我的本地 URL 添加到上下文中并将其设置为范围:
clientapi.context.includeInContext(contextName,
java.util.regex.Pattern.quote(WebSiteNavigation.BASE_URL));
clientapi.context.setContextInScope(contextName, "true");
完成此操作并在我的本地应用程序上导航后,我在 ZAP UI 中看到相关的非本地流量,但看不到本地流量。当我检查 clientapi.context.urls(contextName) 返回的内容时,它是空的。
我创建我的代理:
private static Proxy createZapProxyConfiguration() {
Proxy proxy = new Proxy();
proxy.setHttpProxy(ZAP_PROXYHOST + ":" + ZAP_PROXYPORT);
proxy.setSslProxy(ZAP_PROXYHOST + ":" + ZAP_PROXYPORT);
return proxy;
}
由以下人员调用:
@Before
public void setUp() {
// Configure ZAP Scanner
zapScanner = new ZAProxyScanner(ZAP_PROXYHOST, ZAP_PROXYPORT,
ZAP_APIKEY);
clientapi = new ClientApi(ZAP_PROXYHOST, ZAP_PROXYPORT);
// Start new session
zapScanner.clear();
log.info("Started a new session: Scanner");
// Create ZAP API client
zapSpider = (Spider) zapScanner;
// Create driver object
driver = BrowserDriverFactory.createChromeDriver
(createZapProxyConfiguration(), BROWSER_DRIVER_PATH);
siteNavigation = new WebSiteNavigation(driver);
}
这也叫:
public static WebDriver createChromeDriver(Proxy proxy, String path) {
// Set proxy in the chrome browser
DesiredCapabilities capabilities = DesiredCapabilities.chrome();
capabilities.setCapability("proxy", proxy);
// Set system property for chrome driver with the path
System.setProperty("webdriver.chrome.driver", path);
capabilities.setCapability(CapabilityType.ACCEPT_SSL_CERTS, true);
ChromeOptions options = new ChromeOptions();
options.merge(capabilities);
return new ChromeDriver(options);
}
奇怪的是,几天前当我第一次设置它时,它就像一个魅力......然后我尝试自动化身份验证过程,从那时起,它就不起作用了......
我在这里错过了什么吗?我至少在寻找正确的地方?
解决方案
默认情况下,Chrome 默认不会代理发送到 localhost 的请求,因此如果您遇到这种情况,您需要向 chrome 驱动程序传递一个附加标志。这是使用 JSON 配置的方式:
capabilities: {
browserName: 'chrome',
proxy: proxy
chromeOptions: {
args: ['--proxy-bypass-list=<-loopback>']
}
},
使用 Java API 也可以做到这一点。
推荐阅读
- javafx-11 - 在 Apache Netbeans 10 中创建 JavaFX11 应用程序时出错
- php - 简单的 PHP 重定向脚本不起作用。特别来自 geoplugin.net。有什么建议吗?
- unity3d - 在 Unity 的顶点着色器中丢弃顶点
- xamarin.forms - Plugin.Messaging.EmailMessageBuilder.withattachemnt 的附件抛出异常错误
- javascript - js:如何从二维数组中过滤掉重复项?
- c++ - 以下程序中的分段错误
- java - 创建自定义类以反序列化对象以检查数据完整性
- hash - 为什么 hash() 和 hasher.write() 的结果不一样?
- shell - 我想使用脚本将文件的一个特定值传输到另一个文件的单层中
- python - 二进制输入纠错方式,可纠错50%