OWASP ZAP (abreviatura de Z ed A ttack P roxy) es un escáner de seguridad de aplicaciones web de código abierto . Está diseñado para que lo utilicen tanto los nuevos en seguridad de aplicaciones como los probadores de penetración profesionales.
Lanzamiento estable | 2.10.0 / 17 de diciembre de 2020 |
---|---|
Repositorio | |
Escrito en | Java |
Sistema operativo | Linux , Windows , OS X |
Disponible en | 25 [1] idiomas |
Tipo | La seguridad informática |
Licencia | Licencia Apache |
Sitio web | www |
Es uno de los proyectos de Open Web Application Security Project ( OWASP ) más activos [2] y se le ha otorgado el estatus de insignia. [3]
Cuando se utiliza como servidor proxy , permite al usuario manipular todo el tráfico que pasa a través de él, incluido el tráfico que utiliza https .
También puede ejecutarse en modo demonio que luego se controla a través de una API REST .
ZAP se agregó al ThoughtWorks Technology Radar el 30 de mayo de 2015 en el ring de prueba. [4]
ZAP se bifurcó originalmente desde Paros, otro proxy de pentesting. Simon Bennetts, el líder del proyecto, declaró en 2014 que solo el 20% del código fuente de ZAP todavía era de Paros. [5]
Características
Algunas de las características integradas incluyen: servidor proxy de interceptación , rastreadores web tradicionales y AJAX , escáner automatizado, escáner pasivo, navegación forzada, Fuzzer, compatibilidad con WebSocket , lenguajes de secuencias de comandos y compatibilidad con Plug-n-Hack. Tiene una arquitectura basada en complementos y un 'mercado' en línea que permite agregar funciones nuevas o actualizadas. El panel de control de la GUI es fácil de usar. [6]
Premios
- Una de las herramientas de OWASP mencionadas en el premio Bossie 2015 al mejor software de seguridad y redes de código abierto [7]
- Segundo lugar en las mejores herramientas de seguridad de 2014 según la votación de los lectores de ToolsWatch.org [8]
- Herramienta de seguridad superior de 2013 según la votación de los lectores de ToolsWatch.org [9]
- Herramienta de herrero del año 2011 [10]
Ver también
- Seguridad de la aplicación web
- Suite para eructar
- W3af
- Fiddler (software)
Referencias
- ^ "OWASP ZAP" . Crowdin.com . Consultado el 3 de noviembre de 2014 .
- ^ "Proyecto de seguridad de aplicaciones web abiertas (OWASP)" . Openhub.net . Consultado el 3 de noviembre de 2014 .
- ^ "Inventario del proyecto OWASP" . Owasp.org . Consultado el 3 de noviembre de 2014 .
- ^ "RADAR DE TECNOLOGÍA Nuestros pensamientos sobre la tecnología y las tendencias que están dando forma al futuro" (PDF) . Thoughtworks.com . Consultado el 6 de mayo de 2015 .
- ^ Bennetts, Simon (2014). Pruebas de seguridad para desarrolladores que utilizan OWASP ZAP (voz). JavaOne San Francisco 2014. Oracle. El evento ocurre a las 23:30 . Consultado el 2 de junio de 2015 .
- ^ Marcel Birkner. "Aplicaciones Web de pruebas de seguridad automatizadas utilizando la prueba OWASP Zed Attack Proxy" . Consultado el 22 de noviembre de 2016 .
- ^ InfoWorld. "Bossie Awards 2015: El mejor software de seguridad y redes de código abierto" . Infoworld.com . Consultado el 21 de septiembre de 2015 .
- ^ "ToolsWatch.org - El portal de herramientas de Hackers Arsenal» 2014 Top Security Tools según la votación de los lectores de ToolsWatch.org " . Toolswatch.org . Consultado el 16 de enero de 2015 .
- ^ "ToolsWatch.org - The Hackers Arsenal Tools Portal» 2013 Top Security Tools según la votación de los lectores de ToolsWatch.org " . Toolswatch.org . Consultado el 3 de noviembre de 2014 .
- ^ Russ McRee. "HolisticInfoSec: 2011 Toolsmith Tool of the Year: OWASP ZAP" . Holisticinfosec.blogspot.com . Consultado el 3 de noviembre de 2014 .
enlaces externos
- Página web oficial