OWASP ZAP
¿Qué es OWASP ZAP?
OWASP ZAPZed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP.
OWASP Zed Attack Proxy (ZAP) es una herramienta de codigo abierto de pruebas dinamicas de seguridad de aplicaciones (DAST) que actua como proxy interceptor, escaner automatico y fuzzer para aplicaciones web y APIs. ZAP soporta escaneos automatizados, pruebas manuales en una interfaz tipo Burp, scripting en JavaScript, Python y otros lenguajes, automatizacion via API REST y se integra en CI/CD mediante imagenes Docker y GitHub Actions. En 2024 la tutela paso del proyecto OWASP a Checkmarx, manteniendo ZAP gratuito y de codigo abierto bajo licencia Apache 2.0. Los equipos de seguridad lo usan para DAST nocturno en pipelines, pentest y formacion.
● Ejemplos
- 01
Ejecutar un baseline scan de ZAP en un workflow de GitHub Actions para detectar errores evidentes en cada pull request.
- 02
Usar el HUD de ZAP para interceptar y modificar una peticion GraphQL durante un pentest manual.
● Preguntas frecuentes
¿Qué es OWASP ZAP?
Zed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OWASP ZAP?
Zed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP.
¿Cómo defenderse de OWASP ZAP?
Las defensas contra OWASP ZAP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OWASP ZAP?
Nombres alternativos comunes: Zed Attack Proxy, ZAP.