OWASP ZAP
Was ist OWASP ZAP?
OWASP ZAPZed Attack Proxy, ein quelloffenes Werkzeug zum Web-Application-Security-Testing, ursprunglich aus OWASP, heute von Checkmarx und der ZAP-Community gepflegt.
OWASP Zed Attack Proxy (ZAP) ist ein quelloffenes DAST-Werkzeug, das als intercepting Proxy, automatisierter Scanner und Fuzzer fur Webanwendungen und APIs dient. ZAP unterstutzt automatisierte Scans, manuelles Testing uber eine Burp-ahnliche Oberflache, Scripting in JavaScript, Python u.a., REST-Automatisierung uber die ZAP-API sowie CI/CD-Integration uber Docker-Images und GitHub Actions. 2024 wechselte die Stewardship vom OWASP-Projekt zu Checkmarx; ZAP bleibt jedoch frei und Open Source unter der Apache-2.0-Lizenz. Security-Teams nutzen ZAP fur nachtliche DAST-Laufe in Pipelines, Pentests und Schulungen.
● Beispiele
- 01
Ein ZAP-Baseline-Scan in einem GitHub-Actions-Workflow, um pro Pull Request offensichtliche Fehlkonfigurationen zu finden.
- 02
Mit dem ZAP HUD eine GraphQL-Anfrage wahrend eines manuellen Pentests abfangen und manipulieren.
● Häufige Fragen
Was ist OWASP ZAP?
Zed Attack Proxy, ein quelloffenes Werkzeug zum Web-Application-Security-Testing, ursprunglich aus OWASP, heute von Checkmarx und der ZAP-Community gepflegt. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet OWASP ZAP?
Zed Attack Proxy, ein quelloffenes Werkzeug zum Web-Application-Security-Testing, ursprunglich aus OWASP, heute von Checkmarx und der ZAP-Community gepflegt.
Wie funktioniert OWASP ZAP?
OWASP Zed Attack Proxy (ZAP) ist ein quelloffenes DAST-Werkzeug, das als intercepting Proxy, automatisierter Scanner und Fuzzer fur Webanwendungen und APIs dient. ZAP unterstutzt automatisierte Scans, manuelles Testing uber eine Burp-ahnliche Oberflache, Scripting in JavaScript, Python u.a., REST-Automatisierung uber die ZAP-API sowie CI/CD-Integration uber Docker-Images und GitHub Actions. 2024 wechselte die Stewardship vom OWASP-Projekt zu Checkmarx; ZAP bleibt jedoch frei und Open Source unter der Apache-2.0-Lizenz. Security-Teams nutzen ZAP fur nachtliche DAST-Laufe in Pipelines, Pentests und Schulungen.
Wie schützt man sich gegen OWASP ZAP?
Schutzmaßnahmen gegen OWASP ZAP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OWASP ZAP?
Übliche alternative Bezeichnungen: Zed Attack Proxy, ZAP.
● Verwandte Begriffe
- appsec№ 273
DAST (Dynamic Application Security Testing)
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
- compliance№ 782
OWASP WSTG
OWASP Web Security Testing Guide, ein umfassendes Open-Source-Handbuch, das beschreibt, wie Webanwendungen auf die haufigsten Sicherheitsschwachen getestet werden.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.
- compliance№ 776
OWASP Dependency-Check
Quelloffenes Software-Composition-Analysis-Werkzeug von OWASP, das Projektabhangigkeiten scannt und bekannte Schwachstellen uber CPE-zu-CVE-Matching meldet.
- appsec№ 166
CI/CD-Sicherheit
Kontrollen, die Continuous-Integration- und Continuous-Delivery-Pipelines vor Kompromittierung, Code-Injektion, Secret-Leakage und unautorisierten Deployments schützen.