OWASP Zed Attack Proxy
OWASP Zed Attack Proxy
| Versione | Maturità | Linguaggio | Licenza | URL | Produttore | Diffusione |
|---|---|---|---|---|---|---|
| 2.11.1 | Stabile/Produzione | Java, Python | Apache-2.0 | https://github.com/zaproxy/zaproxy | N/A | Worldwide |
Descrizione
OWASP Zed Attack Proxy (ZAP) è uno strumento di sicurezza che consente di rilevare vulnerabilità in applicazioni e siti Web. È una soluzione semplice e flessibile che si adatta a vari livelli di utilizzo e competenza. ZAP è composto da due macro-sezioni. La prima è uno scanner automatizzato di vulnerabilità che consente di identificare problemi e fornisce un report per sviluppatori, sistemisti e addetti alla sicurezza con i dettagli delle vulnerabilità per poter sanare la falla. La seconda permette a ZAP di operare come proxy che consente di ispezionare il traffico e tutta la comunicazione HTTP – richieste (requests) e rispostem (responses) – e gli eventi, con la possibilità di modificarli o analizzare i loro trigger che sono potenzialmente pericolosi per il sistema.
Ragioni della scelta
Le ragioni principali della scelta di ZAP come soluzione di pentesting sono:
- ZAP è un tool creato seguendo i principi OWASP (Open Web Application Security Project) che offre la possibilità di poter analizzare applicazioni e siti web, rendendoli più sicuri;
- ZAP è open-source e contiene la maggior parte delle vulnerabilità attualmente presenti. Inoltre, esso viene aggiornato quotidianamente da una community attiva;
- è una soluzione semplice e flessibile che si adatta a vari livelli di utilizzo e competenza;
- le modalità di uso di ZAP consistono in una scansione (attacco) automatica ed in una manuale, in cui ZAP funziona da proxy interposta tra browser e server, intercettando il traffico HTTP.