OWASP ZAP
OWASP ZAP (abréviation de Zed Attack Proxy ) est un scanner de sécurité d'application Web open source. Il est destiné à être utilisé à la fois par les novices en matière de sécurité des applications et par les testeurs d'intrusion professionnels.
Première version | [1] |
---|---|
Dernière version | 2.11.1 ()[2] |
Dépôt | github.com/zaproxy/zaproxy |
Écrit en | Java |
Système d'exploitation | Linux, Microsoft Windows et macOS |
Environnement | Machine virtuelle Java |
Type | Outil de test logiciel (d) |
Licence | Licence Apache version 2.0 |
Site web | www.zaproxy.org |
Il s'agit de l'un des projets OWASP (Open Web Application Security Project) les plus actifs [3] et il a reçu le statut de Flagship[4].
Lorsqu'il est utilisé comme serveur proxy, il permet à l'utilisateur de manipuler tout le trafic qui le traverse, y compris le trafic utilisant https .
Il peut également fonctionner en mode démon qui est ensuite contrôlé via une API REST .
ZAP a été ajouté au radar technologique ThoughtWorks le 30 mai 2015 dans l'anneau d'essai[5].
ZAP a été dérivé à l'origine de Paros, un autre proxy de pentesting. Simon Bennetts, le chef de projet, a déclaré en 2014 que seulement 20% du code source de ZAP provenait encore de Paros.
Caractéristiques
Certaines des fonctionnalités intégrées incluent : serveur proxy d'interception, robots d'exploration Web traditionnels et AJAX, analyseur automatisé, analyseur passif, navigation forcée, Fuzzer, prise en charge de WebSocket, langages de script et prise en charge de Plug-n-Hack. Il a une architecture basée sur des plugins et une « place de marché » en ligne qui permet d'ajouter des fonctionnalités nouvelles ou mises à jour. Le panneau de contrôle GUI est facile à utiliser[6].
Récompenses
- L'un des outils OWASP mentionnés dans le prix Bossie 2015 du meilleur logiciel de réseau et de sécurité open source [7]
- Deuxième place dans le Top Security Tools de 2014 selon les votes des lecteurs de ToolsWatch.org [8]
- Meilleur outil de sécurité de 2013 selon les votes des lecteurs de ToolsWatch.org [9]
- Outil d'outillage de l'année 2011 [10]
Voir également
- W3af
- Fiddler (logiciel)
Références
- Simon Bennetts, « https://github.com/zaproxy/zaproxy/commit/544e8a59a432be2cd5807ad0f85e7f487224bce1 »,
- « Release v2.11.1 »,
- « Open Web Application Security Project (OWASP) », Openhub.net (consulté le )
- « OWASP Project Inventory », Owasp.org (consulté le )
- « TECHNOLOGY RADAR Our thoughts on the technology and trends that are shaping the future », Thoughtworks.com (consulté le )
- Marcel Birkner, « Automated Security Testing Web Applications Using OWASP Zed Attack Proxy test », (consulté le )
- InfoWorld, « Bossie Awards 2015: The best open source networking and security software », Infoworld.com, (consulté le )
- « ToolsWatch.org – The Hackers Arsenal Tools Portal » 2014 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch.org (consulté le )
- « ToolsWatch.org – The Hackers Arsenal Tools Portal » 2013 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch.org (consulté le )
- Russ McRee, « HolisticInfoSec: 2011 Toolsmith Tool of the Year: OWASP ZAP », Holisticinfosec.blogspot.com, (consulté le )