OWASP ZAP

OWASP ZAP (abréviation de Zed Attack Proxy) est un scanner de sécurité d'application Web open source. Il est destiné à une utilisation aussi bien par des novices en matière de sécurité des applications que par des testeurs d'intrusion professionnels.

OWASP ZAP

Informations

Première version	4 septembre 2010[1]
Dernière version	2.16.1 (25 mars 2025)[2]
Dépôt	github.com/zaproxy/zaproxy
Écrit en	Java
Système d'exploitation	Linux, Microsoft Windows et macOS
Environnement	Machine virtuelle Java
Type	Outil de test logiciel (d)
Licence	Licence Apache 2.0
Site web	www.zaproxy.org

modifier - modifier le code - voir Wikidata (aide)

C’est l'un des projets OWASP (Open Web Application Security Project) les plus actifs^[3]. Il a reçu le statut de Flagship^[4].

Lorsqu'il est utilisé comme serveur proxy, ZAP permet à l'utilisateur de manipuler tout le trafic qui le traverse, y compris le trafic utilisant https.

Il peut également fonctionner en mode démon qui est ensuite contrôlé via une API REST.

ZAP a été ajouté au radar technologique ThoughtWorks le 30 mai 2015 dans l'anneau d'essai^[5].

Cet outil a été dérivé de Paros, un autre proxy de pentesting. Simon Bennetts, le chef de projet, a déclaré en 2014 que seulement 20 % du code source de ZAP provenait encore de Paros.

Caractéristiques

ZAP inclut les fonctionnalités suivantes : serveur proxy d'interception, robots d'exploration Web traditionnels et AJAX, analyseur automatisé, analyseur passif, navigation forcée, Fuzzer, prise en charge de WebSocket, langages de script et prise en charge de Plug-n-Hack. Son architecture repose sur des plugins et une « place de marché » en ligne qui permet d'ajouter des fonctionnalités nouvelles ou mises à jour. Son utilisation est réalisée à travers un panneau de contrôle (GUI)^[6].

Récompenses

• L'un des outils OWASP mentionnés dans le prix Bossie 2015 du meilleur logiciel de réseau et de sécurité open source^[7]
• Deuxième place dans le classement 2014 des outils de sécurité aux termes du vote des lecteurs de ToolsWatch.org^[8]
• Meilleur outil de sécurité dans le classement 2013 aux termes du vote des lecteurs de ToolsWatch.org^[9]
• Outil d'outillage de l'année 2011 aux termes du vote des lecteurs de HolisticInfoSec^[10]

Articles connexes

• W3af
• Fiddler (logiciel)