АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ
КультураМассовая культураИнтернетZAP (программное обеспечение)

ZAP (программное обеспечение)

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

OWASP ZAP — веб-сканер безопасности с открытым исходным кодом. Разрабатывается как инструмент для обеспечения безопасности веб-приложений и профессионального проведения пентестов.

Является одним из самых активных проектов OWASP[2] и имеет статус «основного» (flagship) проекта OWASP[3]. OWASP ZAP переведён минимум на 25 языков[4].

При использовании в качестве прокси-сервера позволяет пользователям перехватывать и изменять весь проходящий через него трафик, включая защищённый трафик HTTPS.

Программа может работать в режиме демона, который управляется через REST API.

Инструмент является кроссплатформенным, поскольку реализован на Java и доступен для Windows, Linux, macOS.

В мае 2015 года ZAP был включён в Technology Radar от ThoughtWorks в категорию инструментов для тестирования[5].

Общие сведения

Возможности

Основные возможности OWASP ZAP включают:

  • Прокси-сервер для перехвата трафика
  • Обычные браузерные и AJAX-сканеры веб-приложений
  • Автоматизированный сканер
  • Пассивный сканер
  • Форсированный просмотр страниц (forced browsing)
  • Фаззер
  • Поддержка WebSocket
  • Языки сценариев и совместимость с Plug-n-Hack

OWASP ZAP построен по плагинной архитектуре и обладает собственным онлайн-маркетплейсом для расширений, что позволяет добавлять новые или обновлённые функции. Графический интерфейс пользователя интуитивно понятен и прост в использовании[6].

Призы и награды

  • Одна из инструментов OWASP, упомянутых на премии Bossie Awards 2015 за лучшее сетевое и защищённое программное обеспечение с открытым исходным кодом[7]
  • Второе место в рейтинге «Top Security Tools of 2014» по мнению читателей ToolsWatch.org[8]
  • Награда «Top Security Tool» (лучшая инструментальная программа по безопасности) 2013 года, также по мнению читателей ToolsWatch.org[9]
  • Инструмент года в 2011 году по мнению Toolsmith[10]

Примечания

  1. Bennetts S. https://github.com/zaproxy/zaproxy/commit/544e8a59a432be2cd5807ad0f85e7f487224bce1 — 2010.
  2. Open Web Application Security Project (OWASP) (исп.). openhub.net. Дата обращения: 3 ноября 2014. Архивировано 13 декабря 2024 года.
  3. OWASP Project Inventory (исп.). owasp.org. Дата обращения: 3 ноября 2014. Архивировано 8 мая 2013 года.
  4. OWASP ZAP (исп.). crowdin.com. Дата обращения: 3 ноября 2014. Архивировано 29 октября 2014 года.
  5. TECHNOLOGY RADAR Our thoughts on the technology and trends that are shaping the future (англ.) (PDF). thoughtworks.com. Дата обращения: 6 мая 2015. Архивировано 5 сентября 2015 года.
  6. Marcel Birkner. Automated Security Testing Web Applications Using OWASP Zed Attack Proxy (англ.). blog.codecentric.de. Дата обращения: 22 ноября 2016. Архивировано 29 июня 2014 года.
  7. InfoWorld. Bossie Awards 2015: The best open source networking and security software (англ.). infoworld.com. Дата обращения: 21 сентября 2015. Архивировано 16 сентября 2015 года.
  8. 2014 Top Security Tools as Voted by ToolsWatch.org Readers (англ.). toolswatch.org. Дата обращения: 16 января 2015. Архивировано 14 января 2015 года.
  9. 2013 Top Security Tools as Voted by ToolsWatch.org Readers (англ.). toolswatch.org. Дата обращения: 3 ноября 2014. Архивировано 21 декабря 2013 года.
  10. Russ McRee. HolisticInfoSec: 2011 Toolsmith Tool of the Year: OWASP ZAP (англ.). holisticinfosec.blogspot.com. Дата обращения: 3 ноября 2014. Архивировано 17 мая 2025 года.

Ссылки

Категории

Скриншот программы OWASP ZAP