OWASP ZAP
Qu'est-ce que OWASP ZAP ?
OWASP ZAPZed Attack Proxy, outil open source de tests de securite des applications web, issu d'OWASP et desormais maintenu par Checkmarx et la communaute ZAP.
OWASP Zed Attack Proxy (ZAP) est un outil open source de DAST qui sert de proxy d'interception, de scanner automatique et de fuzzer pour les applications web et APIs. ZAP prend en charge les scans automatises, les tests manuels via une interface de type Burp, le scripting en JavaScript, Python et d'autres langages, l'automatisation REST via l'API ZAP, et l'integration CI/CD avec des images Docker et des GitHub Actions. En 2024, la gouvernance est passee du projet OWASP a Checkmarx tout en gardant ZAP gratuit et open source sous licence Apache 2.0. Les equipes securite l'utilisent pour le DAST nocturne dans les pipelines, les pentests et la formation.
● Exemples
- 01
Lancer un scan baseline ZAP dans un workflow GitHub Actions pour signaler les erreurs evidentes a chaque pull request.
- 02
Utiliser le HUD ZAP pour intercepter et modifier une requete GraphQL lors d'un pentest manuel.
● Questions fréquentes
Qu'est-ce que OWASP ZAP ?
Zed Attack Proxy, outil open source de tests de securite des applications web, issu d'OWASP et desormais maintenu par Checkmarx et la communaute ZAP. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie OWASP ZAP ?
Zed Attack Proxy, outil open source de tests de securite des applications web, issu d'OWASP et desormais maintenu par Checkmarx et la communaute ZAP.
Comment fonctionne OWASP ZAP ?
OWASP Zed Attack Proxy (ZAP) est un outil open source de DAST qui sert de proxy d'interception, de scanner automatique et de fuzzer pour les applications web et APIs. ZAP prend en charge les scans automatises, les tests manuels via une interface de type Burp, le scripting en JavaScript, Python et d'autres langages, l'automatisation REST via l'API ZAP, et l'integration CI/CD avec des images Docker et des GitHub Actions. En 2024, la gouvernance est passee du projet OWASP a Checkmarx tout en gardant ZAP gratuit et open source sous licence Apache 2.0. Les equipes securite l'utilisent pour le DAST nocturne dans les pipelines, les pentests et la formation.
Comment se défendre contre OWASP ZAP ?
Les défenses contre OWASP ZAP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OWASP ZAP ?
Noms alternatifs courants : Zed Attack Proxy, ZAP.
● Termes liés
- appsec№ 273
DAST (Dynamic Application Security Testing)
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
- compliance№ 782
OWASP WSTG
Web Security Testing Guide de l'OWASP, manuel open source complet decrivant comment tester les applications web face aux faiblesses de securite les plus courantes.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de l'OWASP, catalogue d'exigences de securite testables pour concevoir, construire et verifier des applications web et APIs.
- compliance№ 776
OWASP Dependency-Check
Outil open source de SCA de l'OWASP qui analyse les dependances d'un projet et remonte les vulnerabilites connues en croisant les identifiants CPE avec les donnees CVE.
- appsec№ 166
Sécurité CI/CD
Ensemble de contrôles qui protègent les pipelines d'intégration et de livraison continues contre la compromission, l'injection de code, la fuite de secrets et les déploiements non autorisés.