OWASP ZAP

Un article de Wikipédia, l'encyclopédie libre.
OWASP ZAP

Description de l'image OWASP-ZAP.png.
Informations
Première version [1]Voir et modifier les données sur Wikidata
Dernière version 2.11.1 ()[2]Voir et modifier les données sur Wikidata
Dépôt github.com/zaproxy/zaproxyVoir et modifier les données sur Wikidata
Écrit en JavaVoir et modifier les données sur Wikidata
Système d'exploitation Linux, Microsoft Windows et macOSVoir et modifier les données sur Wikidata
Environnement Machine virtuelle JavaVoir et modifier les données sur Wikidata
Type Outil de test logiciel (d)Voir et modifier les données sur Wikidata
Licence Licence Apache version 2.0Voir et modifier les données sur Wikidata
Site web www.zaproxy.orgVoir et modifier les données sur Wikidata

OWASP ZAP (abréviation de Zed Attack Proxy ) est un scanner de sécurité d'application Web open source. Il est destiné à être utilisé à la fois par les novices en matière de sécurité des applications et par les testeurs d'intrusion professionnels.

Il s'agit de l'un des projets OWASP (Open Web Application Security Project) les plus actifs [3] et il a reçu le statut de Flagship[4].

Lorsqu'il est utilisé comme serveur proxy, il permet à l'utilisateur de manipuler tout le trafic qui le traverse, y compris le trafic utilisant https .

Il peut également fonctionner en mode démon qui est ensuite contrôlé via une API REST .

ZAP a été ajouté au radar technologique ThoughtWorks le 30 mai 2015 dans l'anneau d'essai[5].

ZAP a été dérivé à l'origine de Paros, un autre proxy de pentesting. Simon Bennetts, le chef de projet, a déclaré en 2014 que seulement 20% du code source de ZAP provenait encore de Paros.

Caractéristiques[modifier | modifier le code]

Certaines des fonctionnalités intégrées incluent : serveur proxy d'interception, robots d'exploration Web traditionnels et AJAX, analyseur automatisé, analyseur passif, navigation forcée, Fuzzer, prise en charge de WebSocket, langages de script et prise en charge de Plug-n-Hack. Il a une architecture basée sur des plugins et une « place de marché » en ligne qui permet d'ajouter des fonctionnalités nouvelles ou mises à jour. Le panneau de contrôle GUI est facile à utiliser[6].

Récompenses[modifier | modifier le code]

  • L'un des outils OWASP mentionnés dans le prix Bossie 2015 du meilleur logiciel de réseau et de sécurité open source [7]
  • Deuxième place dans le Top Security Tools de 2014 selon les votes des lecteurs de ToolsWatch.org [8]
  • Meilleur outil de sécurité de 2013 selon les votes des lecteurs de ToolsWatch.org [9]
  • Outil d'outillage de l'année 2011 [10]

Voir également[modifier | modifier le code]

Références[modifier | modifier le code]

Liens externes[modifier | modifier le code]