OWASP ZAP
De Wikipédia, l'encyclopédie libre
OWASP ZAP (abréviation de Zed Attack Proxy) est un scanner de sécurité d'application Web open source. Il est destiné à une utilisation aussi bien par des novices en matière de sécurité des applications que par des testeurs d'intrusion professionnels.
OWASP ZAP
| Première version | [1] |
|---|---|
| Dernière version | 2.16.1 ()[2] |
| Dépôt | github.com/zaproxy/zaproxy |
| Écrit en | Java |
| Système d'exploitation | Linux, Microsoft Windows et macOS |
| Environnement | Machine virtuelle Java |
| Type | Outil de test logiciel (d) |
| Licence | Licence Apache 2.0 |
| Site web | www.zaproxy.org |
C’est l'un des projets OWASP (Open Web Application Security Project) les plus actifs[3]. Il a reçu le statut de Flagship[4].
Lorsqu'il est utilisé comme serveur proxy, ZAP permet à l'utilisateur de manipuler tout le trafic qui le traverse, y compris le trafic utilisant https.
Il peut également fonctionner en mode démon qui est ensuite contrôlé via une API REST.
ZAP a été ajouté au radar technologique ThoughtWorks le 30 mai 2015 dans l'anneau d'essai[5].
Cet outil a été dérivé de Paros, un autre proxy de pentesting. Simon Bennetts, le chef de projet, a déclaré en 2014 que seulement 20 % du code source de ZAP provenait encore de Paros.
Caractéristiques
ZAP inclut les fonctionnalités suivantes : serveur proxy d'interception, robots d'exploration Web traditionnels et AJAX, analyseur automatisé, analyseur passif, navigation forcée, Fuzzer, prise en charge de WebSocket, langages de script et prise en charge de Plug-n-Hack. Son architecture repose sur des plugins et une « place de marché » en ligne qui permet d'ajouter des fonctionnalités nouvelles ou mises à jour. Son utilisation est réalisée à travers un panneau de contrôle (GUI)[6].
Récompenses
- L'un des outils OWASP mentionnés dans le prix Bossie 2015 du meilleur logiciel de réseau et de sécurité open source[7]
- Deuxième place dans le classement 2014 des outils de sécurité aux termes du vote des lecteurs de ToolsWatch.org[8]
- Meilleur outil de sécurité dans le classement 2013 aux termes du vote des lecteurs de ToolsWatch.org[9]
- Outil d'outillage de l'année 2011 aux termes du vote des lecteurs de HolisticInfoSec[10]
Articles connexes
- W3af
- Fiddler (logiciel)
Références
Liens externes
Wikiwand - on
Seamless Wikipedia browsing. On steroids.