OWASP ZAP
O que é OWASP ZAP?
OWASP ZAPZed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP.
O OWASP Zed Attack Proxy (ZAP) e uma ferramenta open source de DAST que funciona como proxy de intercecao, scanner automatico e fuzzer para aplicacoes web e APIs. O ZAP suporta scans automatizados, testes manuais numa interface ao estilo Burp, scripting em JavaScript, Python e outras linguagens, automacao REST atraves da API ZAP, e integracao CI/CD via imagens Docker e GitHub Actions. Em 2024 a tutela passou do projeto OWASP para a Checkmarx, mantendo-se o ZAP gratuito e open source sob licenca Apache 2.0. As equipas de seguranca usam-no para DAST noturno em pipelines, pentests e formacao.
● Exemplos
- 01
Executar um scan baseline do ZAP num workflow do GitHub Actions para sinalizar erros evidentes em cada PR.
- 02
Usar o HUD do ZAP para intercetar e modificar um pedido GraphQL num pentest manual.
● Perguntas frequentes
O que é OWASP ZAP?
Zed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa OWASP ZAP?
Zed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP.
Como funciona OWASP ZAP?
O OWASP Zed Attack Proxy (ZAP) e uma ferramenta open source de DAST que funciona como proxy de intercecao, scanner automatico e fuzzer para aplicacoes web e APIs. O ZAP suporta scans automatizados, testes manuais numa interface ao estilo Burp, scripting em JavaScript, Python e outras linguagens, automacao REST atraves da API ZAP, e integracao CI/CD via imagens Docker e GitHub Actions. Em 2024 a tutela passou do projeto OWASP para a Checkmarx, mantendo-se o ZAP gratuito e open source sob licenca Apache 2.0. As equipas de seguranca usam-no para DAST noturno em pipelines, pentests e formacao.
Como se defender contra OWASP ZAP?
As defesas contra OWASP ZAP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OWASP ZAP?
Nomes alternativos comuns: Zed Attack Proxy, ZAP.
● Termos relacionados
- appsec№ 273
DAST (Dynamic Application Security Testing)
Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
- compliance№ 782
OWASP WSTG
Web Security Testing Guide da OWASP, manual open source abrangente que descreve como testar aplicacoes web face as fraquezas de seguranca mais comuns.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard da OWASP, catalogo de requisitos de seguranca testaveis para projetar, construir e verificar aplicacoes web e APIs.
- compliance№ 776
OWASP Dependency-Check
Ferramenta open source da OWASP para SCA que examina dependencias de um projeto e reporta vulnerabilidades conhecidas atraves do mapeamento CPE para CVE.
- appsec№ 166
Segurança de CI/CD
Conjunto de controlos que protegem os pipelines de integração e entrega contínuas contra comprometimento, injeção de código, fuga de segredos e deploys não autorizados.