OWASP ZAP
OWASP ZAP 是什么?
OWASP ZAPZed Attack Proxy,源自 OWASP、目前由 Checkmarx 与 ZAP 社区共同维护的开源 Web 应用安全测试工具。
OWASP Zed Attack Proxy(ZAP)是开源的动态应用安全测试(DAST)工具,可作为拦截代理、自动扫描器和模糊测试器,适用于 Web 应用与 API。ZAP 支持自动扫描、类似 Burp 的手工测试界面、JavaScript/Python 等脚本扩展、通过 ZAP API 进行 REST 自动化,以及通过 Docker 镜像和 GitHub Actions 集成到 CI/CD。2024 年项目治理由 OWASP 转移到 Checkmarx,但 ZAP 仍以 Apache 2.0 协议保持免费开源。安全团队用它在流水线中执行夜间 DAST、做渗透测试与培训。
● 示例
- 01
在 GitHub Actions 工作流中运行 ZAP baseline 扫描,在每个 PR 上标记明显的配置错误。
- 02
在人工渗透测试中使用 ZAP HUD 拦截并修改 GraphQL 请求。
● 常见问题
OWASP ZAP 是什么?
Zed Attack Proxy,源自 OWASP、目前由 Checkmarx 与 ZAP 社区共同维护的开源 Web 应用安全测试工具。 它属于网络安全的 合规与框架 分类。
OWASP ZAP 是什么意思?
Zed Attack Proxy,源自 OWASP、目前由 Checkmarx 与 ZAP 社区共同维护的开源 Web 应用安全测试工具。
OWASP ZAP 是如何工作的?
OWASP Zed Attack Proxy(ZAP)是开源的动态应用安全测试(DAST)工具,可作为拦截代理、自动扫描器和模糊测试器,适用于 Web 应用与 API。ZAP 支持自动扫描、类似 Burp 的手工测试界面、JavaScript/Python 等脚本扩展、通过 ZAP API 进行 REST 自动化,以及通过 Docker 镜像和 GitHub Actions 集成到 CI/CD。2024 年项目治理由 OWASP 转移到 Checkmarx,但 ZAP 仍以 Apache 2.0 协议保持免费开源。安全团队用它在流水线中执行夜间 DAST、做渗透测试与培训。
如何防御 OWASP ZAP?
针对 OWASP ZAP 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP ZAP 还有哪些其他名称?
常见的别称包括: Zed Attack Proxy, ZAP。
● 相关术语
- appsec№ 273
DAST(动态应用安全测试)
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
- compliance№ 782
OWASP WSTG
OWASP Web 安全测试指南,内容详尽的开源手册,描述如何针对最常见的 Web 应用安全弱点进行测试。
- compliance№ 775
OWASP ASVS
OWASP 应用安全验证标准,提供一套可测试的安全需求清单,用于设计、构建并验证 Web 应用与 API。
- compliance№ 776
OWASP Dependency-Check
OWASP 提供的开源软件成分分析工具,通过 CPE 与 CVE 数据匹配项目依赖,报告已知漏洞。
- appsec№ 166
CI/CD 安全
保护持续集成与持续交付流水线,防止其被入侵、被注入恶意代码、机密泄露与未授权部署的一整套控制。