OWASP ZAP连接被拒绝:连接(502 - Bad Gateway)

时间:2016-11-24 08:54:18

标签: https proxy owasp zap bad-gateway

我尝试使用OWASP ZAP代理与我维护的网站的连接。 但是,虽然代理正在为其他站点(https和http)连接到我实际想要分析的站点,但只返回502 - Bad gateway消息,其中包含以下文本:

ZAP Error [java.net.ConnectException]: Connection refused: connect

Stack Trace:
java.net.ConnectException: Connection refused: connect
    at java.net.DualStackPlainSocketImpl.connect0(Native Method)
    at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)
    at java.net.AbstractPlainSocketImpl.doConnect(Unknown Source)
    at java.net.AbstractPlainSocketImpl.connectToAddress(Unknown Source)
    at java.net.AbstractPlainSocketImpl.connect(Unknown Source)
    at java.net.PlainSocketImpl.connect(Unknown Source)
    at java.net.SocksSocketImpl.connect(Unknown Source)
    at java.net.Socket.connect(Unknown Source)
    at sun.security.ssl.SSLSocketImpl.connect(Unknown Source)
    at sun.security.ssl.SSLSocketImpl.<init>(Unknown Source)
    at sun.security.ssl.SSLSocketFactoryImpl.createSocket(Unknown Source)
    at org.parosproxy.paros.network.DecoratedSocketsSslSocketFactory.createSocket(Unknown Source)
    at org.parosproxy.paros.network.SSLConnector.createSocket(Unknown Source)
    at org.apache.commons.httpclient.HttpConnection.open(Unknown Source)
    at org.apache.commons.httpclient.MultiThreadedHttpConnectionManager$HttpConnectionAdapter.open(MultiThreadedHttpConnectionManager.java:1361)
    at org.apache.commons.httpclient.HttpMethodDirector.executeWithRetry(Unknown Source)
    at org.apache.commons.httpclient.HttpMethodDirector.executeMethod(Unknown Source)
    at org.apache.commons.httpclient.HttpClient.executeMethod(HttpClient.java:397)
    at org.parosproxy.paros.network.HttpSender.executeMethod(Unknown Source)
    at org.parosproxy.paros.network.HttpSender.runMethod(Unknown Source)
    at org.parosproxy.paros.network.HttpSender.send(Unknown Source)
    at org.parosproxy.paros.network.HttpSender.sendAuthenticated(Unknown Source)
    at org.parosproxy.paros.network.HttpSender.sendAndReceive(Unknown Source)
    at org.parosproxy.paros.network.HttpSender.sendAndReceive(Unknown Source)
    at org.parosproxy.paros.core.proxy.ProxyThread.processHttp(Unknown Source)
    at org.parosproxy.paros.core.proxy.ProxyThread.run(Unknown Source)
    at java.lang.Thread.run(Unknown Source)

通过浏览器请求的URL在未通过OWASP ZAP代理时工作正常,ZAP捕获的请求头在复制并粘贴为原始数据库时也可以正常工作,如下所示: / p> 

GET https://nottellingyou.net/ HTTP/1.1
Host: nottellingyou.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
DNT: 1
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

仅供参考,

1。)在ZAP或我的PC /浏览器/提琴手设置的其他地方没有设置代理链。

2.。)ZAP代理正在默认地址localhost:8080

运行

3.。)ZAP动态证书已保存并导入测试浏览器(Firefox Developer Edition)

鉴于ZAP正在为其他网站工作,我对这里可能出现的问题感到困惑,有人可以帮忙吗?

2 个答案:

答案 0 :(得分:1)

我看过防火墙明显有阻止ZAP的特定规则,例如通过检查默认的ZAP用户代理。 这个特定的问题不太可能出现在这里,但你仍然可能遇到类似的问题。 尝试在调整标题时从ZAP中重新发送请求。

另一种可能性是它检查ZAP根证书中的某些内容,例如DN。您可以将自己的根证书导入ZAP - 尝试使用与ZAP非常不同的设置。 如果这不起作用,请转到ZAP User Group,我们将继续尝试不同的事情 - 这将有一个解决方案;)

答案 1 :(得分:0)

我偶然发现了一个可行的解决方案。

因为我不确定我在ZAP中看到的请求是从浏览器收到的请求还是它转发的请求(或两者)。因此,我不确定我的Fiddler检查请求是否有效。

所以我将ZAP设置为在同一台机器上将其所有请求转发给Fiddler,这样我就能确定究竟发送了什么。

一旦我这样做,我就能访问该网站,并在Fiddler和ZAP中记录请求/回复。

基于此,我将与Psiinon的建议一致,建议ZAP的某些链接请求被某些安全/防火墙规则阻止。因为我无法控制这些并且努力从网络人员那里获得除了模糊的咕噜声之外的其他任何东西,我将继续使用我可行的解决方案。

相关问题
最新问题