OWASP ZAP
O que é OWASP ZAP?
OWASP ZAPZed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP.
O OWASP Zed Attack Proxy (ZAP) e uma ferramenta open source de DAST que funciona como proxy de intercecao, scanner automatico e fuzzer para aplicacoes web e APIs. O ZAP suporta scans automatizados, testes manuais numa interface ao estilo Burp, scripting em JavaScript, Python e outras linguagens, automacao REST atraves da API ZAP, e integracao CI/CD via imagens Docker e GitHub Actions. Em 2024 a tutela passou do projeto OWASP para a Checkmarx, mantendo-se o ZAP gratuito e open source sob licenca Apache 2.0. As equipas de seguranca usam-no para DAST noturno em pipelines, pentests e formacao.
● Exemplos
- 01
Executar um scan baseline do ZAP num workflow do GitHub Actions para sinalizar erros evidentes em cada PR.
- 02
Usar o HUD do ZAP para intercetar e modificar um pedido GraphQL num pentest manual.
● Perguntas frequentes
O que é OWASP ZAP?
Zed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa OWASP ZAP?
Zed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP.
Como se defender contra OWASP ZAP?
As defesas contra OWASP ZAP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OWASP ZAP?
Nomes alternativos comuns: Zed Attack Proxy, ZAP.