OWASP ZAP

OWASP ZAP

Description de l'image OWASP-ZAP.png.
Informations
Première version [1]Voir et modifier les données sur Wikidata
Dernière version 2.14.0 ()[2]Voir et modifier les données sur Wikidata
Dépôt github.com/zaproxy/zaproxyVoir et modifier les données sur Wikidata
Écrit en JavaVoir et modifier les données sur Wikidata
Système d'exploitation Linux, Microsoft Windows et macOSVoir et modifier les données sur Wikidata
Environnement Machine virtuelle JavaVoir et modifier les données sur Wikidata
Type Outil de test logiciel (d)Voir et modifier les données sur Wikidata
Licence Licence Apache version 2.0Voir et modifier les données sur Wikidata
Site web www.zaproxy.orgVoir et modifier les données sur Wikidata

modifier - modifier le code - voir Wikidata (aide) Consultez la documentation du modèle

OWASP ZAP (abréviation de Zed Attack Proxy ) est un scanner de sécurité d'application Web open source. Il est destiné à être utilisé à la fois par les novices en matière de sécurité des applications et par les testeurs d'intrusion professionnels.

Il s'agit de l'un des projets OWASP (Open Web Application Security Project) les plus actifs [3] et il a reçu le statut de Flagship[4].

Lorsqu'il est utilisé comme serveur proxy, il permet à l'utilisateur de manipuler tout le trafic qui le traverse, y compris le trafic utilisant https.

Il peut également fonctionner en mode démon qui est ensuite contrôlé via une API REST.

ZAP a été ajouté au radar technologique ThoughtWorks le 30 mai 2015 dans l'anneau d'essai[5].

ZAP a été dérivé à l'origine de Paros, un autre proxy de pentesting. Simon Bennetts, le chef de projet, a déclaré en 2014 que seulement 20% du code source de ZAP provenait encore de Paros.

Caractéristiques

Certaines des fonctionnalités intégrées incluent : serveur proxy d'interception, robots d'exploration Web traditionnels et AJAX, analyseur automatisé, analyseur passif, navigation forcée, Fuzzer, prise en charge de WebSocket, langages de script et prise en charge de Plug-n-Hack. Il a une architecture basée sur des plugins et une « place de marché » en ligne qui permet d'ajouter des fonctionnalités nouvelles ou mises à jour. Le panneau de contrôle GUI est facile à utiliser[6].

Récompenses

  • L'un des outils OWASP mentionnés dans le prix Bossie 2015 du meilleur logiciel de réseau et de sécurité open source [7]
  • Deuxième place dans le Top Security Tools de 2014 selon les votes des lecteurs de ToolsWatch.org [8]
  • Meilleur outil de sécurité de 2013 selon les votes des lecteurs de ToolsWatch.org [9]
  • Outil d'outillage de l'année 2011 [10]

Articles connexes

Références

  1. Simon Bennetts, « https://github.com/zaproxy/zaproxy/commit/544e8a59a432be2cd5807ad0f85e7f487224bce1 »,
  2. « Release 2.14.0 », (consulté le )
  3. « Open Web Application Security Project (OWASP) », Openhub.net (consulté le )
  4. « OWASP Project Inventory », Owasp.org (consulté le )
  5. « TECHNOLOGY RADAR Our thoughts on the technology and trends that are shaping the future », Thoughtworks.com (consulté le )
  6. Marcel Birkner, « Automated Security Testing Web Applications Using OWASP Zed Attack Proxy test », (consulté le )
  7. InfoWorld, « Bossie Awards 2015: The best open source networking and security software », Infoworld.com, (consulté le )
  8. « ToolsWatch.org – The Hackers Arsenal Tools Portal » 2014 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch.org (consulté le )
  9. « ToolsWatch.org – The Hackers Arsenal Tools Portal » 2013 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch.org (consulté le )
  10. Russ McRee, « HolisticInfoSec: 2011 Toolsmith Tool of the Year: OWASP ZAP », Holisticinfosec.blogspot.com, (consulté le )

Liens externes

  • Site officiel
  • icône décorative Portail de la sécurité informatique
  • icône décorative Portail des logiciels libres