OWASP ZAP
Что такое OWASP ZAP?
OWASP ZAPZed Attack Proxy — открытый инструмент тестирования безопасности веб-приложений, изначально из OWASP, ныне сопровождаемый Checkmarx и сообществом ZAP.
OWASP Zed Attack Proxy (ZAP) — открытый инструмент динамического тестирования безопасности приложений (DAST), работающий как перехватывающий прокси, автоматический сканер и фаззер для веб-приложений и API. ZAP поддерживает автоматизированное сканирование, ручное тестирование через интерфейс в стиле Burp, скрипты на JavaScript, Python и других языках, REST-автоматизацию через ZAP API и интеграцию с CI/CD через Docker-образы и GitHub Actions. В 2024 году кураторство перешло от OWASP к Checkmarx, при этом ZAP остаётся бесплатным и открытым под лицензией Apache 2.0. Команды используют ZAP для ночного DAST в пайплайнах, пентестов и обучения.
● Примеры
- 01
Запуск baseline-сканирования ZAP в GitHub Actions для выявления очевидных мисконфигураций в каждом PR.
- 02
Перехват и изменение GraphQL-запроса через ZAP HUD во время ручного пентеста.
● Частые вопросы
Что такое OWASP ZAP?
Zed Attack Proxy — открытый инструмент тестирования безопасности веб-приложений, изначально из OWASP, ныне сопровождаемый Checkmarx и сообществом ZAP. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает OWASP ZAP?
Zed Attack Proxy — открытый инструмент тестирования безопасности веб-приложений, изначально из OWASP, ныне сопровождаемый Checkmarx и сообществом ZAP.
Как работает OWASP ZAP?
OWASP Zed Attack Proxy (ZAP) — открытый инструмент динамического тестирования безопасности приложений (DAST), работающий как перехватывающий прокси, автоматический сканер и фаззер для веб-приложений и API. ZAP поддерживает автоматизированное сканирование, ручное тестирование через интерфейс в стиле Burp, скрипты на JavaScript, Python и других языках, REST-автоматизацию через ZAP API и интеграцию с CI/CD через Docker-образы и GitHub Actions. В 2024 году кураторство перешло от OWASP к Checkmarx, при этом ZAP остаётся бесплатным и открытым под лицензией Apache 2.0. Команды используют ZAP для ночного DAST в пайплайнах, пентестов и обучения.
Как защититься от OWASP ZAP?
Защита от OWASP ZAP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OWASP ZAP?
Распространённые альтернативные названия: Zed Attack Proxy, ZAP.
● Связанные термины
- appsec№ 273
DAST (Dynamic Application Security Testing)
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
- compliance№ 782
OWASP WSTG
OWASP Web Security Testing Guide — подробное открытое руководство по тестированию веб-приложений на типовые слабости безопасности.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.
- compliance№ 776
OWASP Dependency-Check
Открытый SCA-инструмент OWASP, который сканирует зависимости проекта и сообщает об известных уязвимостях путём сопоставления CPE и CVE-данных.
- appsec№ 166
Безопасность CI/CD
Совокупность контролей, защищающих конвейеры непрерывной интеграции и поставки от компрометации, инъекций кода, утечки секретов и несанкционированных деплоев.