OWASP ZAP在做web网站安全测试时,也可以对移动端应用进行安全性测试。
通过对手机移动应用渗透性测试扫描,通过zap这个中间代理的形式,截取所有客户端与服务器的交互请求进行测试。
1、需要手机wifi和zap代理处于同一局域网环境下。
2、进入到手机“设置–无线网络–WLAN”中;
3、选择连接的网络,点击高级设置选项;
4、选择代理方式为“手动”,填入zap地址和端口号。
配置好代理后,移动应用上的所有出入信息都将被zap截获,在截获的同时zap会将站点进行被动扫描。
在连上zap代理后,可对被测应用进行手动访问,等主要页面访问完后再“主动扫描”。
其它在zap中的操作与截取网站时进行的操作一样。