OWASP ZAP
¿Qué es OWASP ZAP?
OWASP ZAPZed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP.
OWASP Zed Attack Proxy (ZAP) es una herramienta de codigo abierto de pruebas dinamicas de seguridad de aplicaciones (DAST) que actua como proxy interceptor, escaner automatico y fuzzer para aplicaciones web y APIs. ZAP soporta escaneos automatizados, pruebas manuales en una interfaz tipo Burp, scripting en JavaScript, Python y otros lenguajes, automatizacion via API REST y se integra en CI/CD mediante imagenes Docker y GitHub Actions. En 2024 la tutela paso del proyecto OWASP a Checkmarx, manteniendo ZAP gratuito y de codigo abierto bajo licencia Apache 2.0. Los equipos de seguridad lo usan para DAST nocturno en pipelines, pentest y formacion.
● Ejemplos
- 01
Ejecutar un baseline scan de ZAP en un workflow de GitHub Actions para detectar errores evidentes en cada pull request.
- 02
Usar el HUD de ZAP para interceptar y modificar una peticion GraphQL durante un pentest manual.
● Preguntas frecuentes
¿Qué es OWASP ZAP?
Zed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OWASP ZAP?
Zed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP.
¿Cómo funciona OWASP ZAP?
OWASP Zed Attack Proxy (ZAP) es una herramienta de codigo abierto de pruebas dinamicas de seguridad de aplicaciones (DAST) que actua como proxy interceptor, escaner automatico y fuzzer para aplicaciones web y APIs. ZAP soporta escaneos automatizados, pruebas manuales en una interfaz tipo Burp, scripting en JavaScript, Python y otros lenguajes, automatizacion via API REST y se integra en CI/CD mediante imagenes Docker y GitHub Actions. En 2024 la tutela paso del proyecto OWASP a Checkmarx, manteniendo ZAP gratuito y de codigo abierto bajo licencia Apache 2.0. Los equipos de seguridad lo usan para DAST nocturno en pipelines, pentest y formacion.
¿Cómo defenderse de OWASP ZAP?
Las defensas contra OWASP ZAP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OWASP ZAP?
Nombres alternativos comunes: Zed Attack Proxy, ZAP.
● Términos relacionados
- appsec№ 273
DAST (Pruebas dinámicas de seguridad de aplicaciones)
Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.
- compliance№ 782
OWASP WSTG
Web Security Testing Guide de OWASP, manual open source completo que describe como probar aplicaciones web frente a las debilidades de seguridad mas comunes.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
- compliance№ 776
OWASP Dependency-Check
Herramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE.
- appsec№ 166
Seguridad de CI/CD
Conjunto de controles que protegen los pipelines de integración y entrega continua frente a compromisos, inyección de código, fuga de secretos y despliegues no autorizados.