1.OWASP ZAP

OWASP Zed攻击代理（ZAP）是世界上最受欢迎的免费安全审计工具之一，由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。

也可以说ZAP是一个中间人代理。它能够获取你对Web应用程序发出的所有请求以及你从中收到的所有响应。

它即可以用于安全专家、开发人员、功能测试人员，甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。

2. 下载地址

OWASP ZAP 下载Welcome to ZAP!https://www.zaproxy.org/download/

3. Mac Chrome 代理配置

3.1 打开电脑 系统设置（System Preferences）-网络（Network）-WIFI高级（Advanced）-代理（Proxies）

进行图中设置，http/https都是127.0.0.1:8080，然后应用

3.2 打开ZAP- 设置 - 网络（Network）-本地代理（Local Proxies） 

 #由于手动测试时，网站会默认打开网址为HTTPS，所以还要进行如下设置！！重要！！！

3.3 取消测试时URL强制HTTPs通道

打开ZAP- 设置 - HUD- 取消所有的勾选

 4 Chrome证书配置

 4.1 打开ZAP- 设置 - Server Certificates - 保存（Save）

  4.2 打开Chrome- 设置 - 隐私与安全（Privacy and security） - 安全（Security）-管理设备证书（Manage device certificates）- 点击 系统（System）- 证书（Certificates）

将刚刚保存的ZAP证书拖入其中

 4.3 右键点击刚拖进去的证书- 获取信息（get info） - 信任（Trust）-选择 总是信任（Always Trust）

5 可以开始输入网址进行 自动/手动测试

参考链接：

OWASP ZAP mac版Chrome代理配置

ZAP adding unnecessary headers and redirecting to HTTPS for some reason · Issue #5790 · zaproxy/zaproxy · GitHub