ОВАСП ЗАП
В этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения )
|
Стабильная версия | 2.14.0 [ 1 ]
/ 12 октября 2023 г |
---|---|
Репозиторий | |
Написано в | Ява |
Операционная система | Linux , Windows , OS X |
Доступно в | 25 [ 2 ] языки |
Тип | Компьютерная безопасность |
Лицензия | Лицензия Апач |
Веб-сайт | www |
ZAP (сокращение от Zed Attack Proxy), ранее известный как OWASP ZAP, представляет собой с открытым исходным кодом сканер безопасности веб-приложений . Он предназначен для использования как новичками в области безопасности приложений, так и профессиональными тестировщиками на проникновение.
Это был один из наиболее активных Open Worldwide Application Security Project ( OWASP ). проектов [ 3 ] и получил статус флагмана. [ 4 ]
При использовании в качестве прокси-сервера он позволяет пользователю манипулировать всем трафиком, проходящим через него, включая трафик с использованием HTTPS .
Он также может работать в режиме демона , которым затем управляют через REST API .
ZAP был добавлен в радар ThoughtWorks Technology Radar 30 мая 2015 г. в пробной версии. [ 5 ]
ZAP изначально был ответвлением Paros, еще одного прокси-сервера для пентеста. Саймон Беннеттс, руководитель проекта, заявил в 2014 году, что только 20% исходного кода ZAP все еще было с Пароса. [ 6 ]
По состоянию на 1 августа 2023 года команда разработчиков ZAP объявила, что ZAP покидает OWASP Foundation, чтобы присоединиться к The Software Security Project в качестве учредительного проекта. [ 7 ] [ 8 ] и впредь будет называться просто ZAP .
Фонд OWASP объявил об этом уходе на следующий день. [ 9 ]
Функции
[ редактировать ]Некоторые из встроенных функций включают в себя:
- Перехватывающий прокси-сервер ,
- Традиционные AJAX веб-сканеры и веб-сканеры
- Автоматический сканер
- Пассивный сканер
- Принудительный просмотр
- Фаззер
- веб-сокетов Поддержка
- Языки сценариев
- Поддержка Plug-n-Hack
Он имеет архитектуру на основе плагинов и онлайн-рынок, который позволяет добавлять новые или обновляемые функции. Панель управления с графическим интерфейсом описывается как простая в использовании. [ 10 ]
Обширный список всех функций можно найти на https://www.zaproxy.org/docs/desktop/start/features/ .
Награды
[ редактировать ]- Один из инструментов OWASP , отмеченный наградой Bossie 2015 года за лучшее программное обеспечение для сетей и безопасности с открытым исходным кодом. [ 11 ]
- Второе место в рейтинге лучших инструментов безопасности 2014 года по мнению читателей ToolsWatch.org. [ 12 ]
- Лучший инструмент безопасности 2013 года по мнению читателей ToolsWatch.org [ 13 ]
- Инструмент года для слесаря в 2011 году [ 14 ]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «Зап 2.14.0» . 12 июля 2023 г.
- ^ «ОВАСП ЗАП» . Crowdin.com . Проверено 3 ноября 2014 г.
- ^ «Открытый проект безопасности веб-приложений (OWASP)» . Openhub.net . Проверено 3 ноября 2014 г.
- ^ «Инвентаризация проектов OWASP» . Owasp.org . Проверено 14 сентября 2023 г.
- ^ «ТЕХНОЛОГИЧЕСКИЙ РАДАР Наши мысли о технологиях и тенденциях, которые формируют будущее» (PDF) . Сайт Thoughtworks.com . Проверено 6 мая 2015 г.
- ^ Беннеттс, Саймон (2014). Тестирование безопасности для разработчиков, использующих OWASP ZAP (выступление). JavaOne, Сан-Франциско, 2014. Oracle. Событие происходит в 23:30 . Проверено 2 июня 2015 г.
- ^ «ZAP присоединяется к проекту безопасности программного обеспечения» . 1 августа 2023 г.
- ^ «Приветствие ZAP в проекте безопасности программного обеспечения» . 31 июля 2023 г.
- ^ «Основная команда ZAP переходит в Linux Foundation | OWASP Foundation» .
- ^ Марсель Биркнер (28 октября 2013 г.). «Автоматическое тестирование безопасности веб-приложений с использованием прокси-сервера OWASP Zed Attack» . Проверено 22 ноября 2016 г.
- ^ InfoWorld (16 сентября 2015 г.). «Bossie Awards 2015: Лучшее программное обеспечение для сетей и безопасности с открытым исходным кодом» . Infoworld.com . Проверено 21 сентября 2015 г.
- ^ «ToolsWatch.org — Портал инструментов хакерского арсенала »Лучшие инструменты безопасности 2014 года по мнению читателей ToolsWatch.org» . Toolswatch.org . Проверено 16 января 2015 г.
- ^ «ToolsWatch.org — Портал инструментов хакерского арсенала »Лучшие инструменты безопасности 2013 года по мнению читателей ToolsWatch.org» . Toolswatch.org . Проверено 3 ноября 2014 г.
- ^ Расс Макри (февраль 2012 г.). «HolisticInfoSec: Инструмент года для инструментальных мастеров 2011 года: OWASP ZAP» . Holisticinfosec.blogspot.com . Проверено 3 ноября 2014 г.