Entry № 880
OWASP ZAP
OWASP ZAP 是什么?
OWASP ZAPZed Attack Proxy,源自 OWASP、目前由 Checkmarx 与 ZAP 社区共同维护的开源 Web 应用安全测试工具。
OWASP Zed Attack Proxy(ZAP)是开源的动态应用安全测试(DAST)工具,可作为拦截代理、自动扫描器和模糊测试器,适用于 Web 应用与 API。ZAP 支持自动扫描、类似 Burp 的手工测试界面、JavaScript/Python 等脚本扩展、通过 ZAP API 进行 REST 自动化,以及通过 Docker 镜像和 GitHub Actions 集成到 CI/CD。2024 年项目治理由 OWASP 转移到 Checkmarx,但 ZAP 仍以 Apache 2.0 协议保持免费开源。安全团队用它在流水线中执行夜间 DAST、做渗透测试与培训。
● 示例
- 01
在 GitHub Actions 工作流中运行 ZAP baseline 扫描,在每个 PR 上标记明显的配置错误。
- 02
在人工渗透测试中使用 ZAP HUD 拦截并修改 GraphQL 请求。
● 常见问题
OWASP ZAP 是什么?
Zed Attack Proxy,源自 OWASP、目前由 Checkmarx 与 ZAP 社区共同维护的开源 Web 应用安全测试工具。 它属于网络安全的 合规与框架 分类。
OWASP ZAP 是什么意思?
Zed Attack Proxy,源自 OWASP、目前由 Checkmarx 与 ZAP 社区共同维护的开源 Web 应用安全测试工具。
如何防御 OWASP ZAP?
针对 OWASP ZAP 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP ZAP 还有哪些其他名称?
常见的别称包括: Zed Attack Proxy, ZAP。