OWASP ZAP

OWASP ZAP (abréviation de Zed Attack Proxy ) est un scanner de sécurité d'application Web open source. Il est destiné à être utilisé à la fois par les novices en matière de sécurité des applications et par les testeurs d'intrusion professionnels.

OWASP ZAP

Informations
Première version [1]
Dernière version 2.11.1 ()[2]
Dépôt github.com/zaproxy/zaproxy
Écrit en Java
Système d'exploitation Linux, Microsoft Windows et macOS
Environnement Machine virtuelle Java
Type Outil de test logiciel (d)
Licence Licence Apache version 2.0
Site web www.zaproxy.org

Il s'agit de l'un des projets OWASP (Open Web Application Security Project) les plus actifs [3] et il a reçu le statut de Flagship[4].

Lorsqu'il est utilisé comme serveur proxy, il permet à l'utilisateur de manipuler tout le trafic qui le traverse, y compris le trafic utilisant https .

Il peut également fonctionner en mode démon qui est ensuite contrôlé via une API REST .

ZAP a été ajouté au radar technologique ThoughtWorks le 30 mai 2015 dans l'anneau d'essai[5].

ZAP a été dérivé à l'origine de Paros, un autre proxy de pentesting. Simon Bennetts, le chef de projet, a déclaré en 2014 que seulement 20% du code source de ZAP provenait encore de Paros.

Caractéristiques

Certaines des fonctionnalités intégrées incluent : serveur proxy d'interception, robots d'exploration Web traditionnels et AJAX, analyseur automatisé, analyseur passif, navigation forcée, Fuzzer, prise en charge de WebSocket, langages de script et prise en charge de Plug-n-Hack. Il a une architecture basée sur des plugins et une « place de marché » en ligne qui permet d'ajouter des fonctionnalités nouvelles ou mises à jour. Le panneau de contrôle GUI est facile à utiliser[6].

Récompenses

  • L'un des outils OWASP mentionnés dans le prix Bossie 2015 du meilleur logiciel de réseau et de sécurité open source [7]
  • Deuxième place dans le Top Security Tools de 2014 selon les votes des lecteurs de ToolsWatch.org [8]
  • Meilleur outil de sécurité de 2013 selon les votes des lecteurs de ToolsWatch.org [9]
  • Outil d'outillage de l'année 2011 [10]

Voir également

Références

  1. Simon Bennetts, « https://github.com/zaproxy/zaproxy/commit/544e8a59a432be2cd5807ad0f85e7f487224bce1 »,
  2. « Release v2.11.1 »,
  3. « Open Web Application Security Project (OWASP) », Openhub.net (consulté le )
  4. « OWASP Project Inventory », Owasp.org (consulté le )
  5. « TECHNOLOGY RADAR Our thoughts on the technology and trends that are shaping the future », Thoughtworks.com (consulté le )
  6. Marcel Birkner, « Automated Security Testing Web Applications Using OWASP Zed Attack Proxy test », (consulté le )
  7. InfoWorld, « Bossie Awards 2015: The best open source networking and security software », Infoworld.com, (consulté le )
  8. « ToolsWatch.org – The Hackers Arsenal Tools Portal » 2014 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch.org (consulté le )
  9. « ToolsWatch.org – The Hackers Arsenal Tools Portal » 2013 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch.org (consulté le )
  10. Russ McRee, « HolisticInfoSec: 2011 Toolsmith Tool of the Year: OWASP ZAP », Holisticinfosec.blogspot.com, (consulté le )

Liens externes

  • Portail de la sécurité informatique
  • Portail des logiciels libres
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.