Escáner de seguridad de aplicaciones web de código abierto
ZAP (abreviatura de Zed Attack Proxy), anteriormente conocido como OWASP ZAP, es un escáner de seguridad de aplicaciones web de código abierto . Está destinado a ser utilizado tanto por aquellos nuevos en la seguridad de aplicaciones como por probadores de penetración profesionales.
Ha sido uno de los proyectos Open Worldwide Application Security Project ( OWASP ) [3] más activos y se le ha otorgado el estatus de Flagship. [4]
Cuando se utiliza como servidor proxy, permite al usuario manipular todo el tráfico que pasa a través de él, incluido el tráfico que utiliza HTTPS .
También puede ejecutarse en modo demonio que luego se controla mediante una API REST .
ZAP se agregó al radar tecnológico ThoughtWorks el 30 de mayo de 2015 en el anillo de prueba. [5]
ZAP se bifurcó originalmente de Paros, otro proxy de pentesting. Simon Bennetts, líder del proyecto, declaró en 2014 que solo el 20% del código fuente de ZAP todavía era de Paros. [6]
A partir del 1 de agosto de 2023, el equipo de desarrollo de ZAP anunció que ZAP dejaría la Fundación OWASP para unirse a The Software Security Project, como proyecto fundacional [7] [8] y en adelante se llamará simplemente ZAP .
La Fundación OWASP anunció esta salida al día siguiente. [9]
Características
Algunas de las características integradas incluyen:
Tiene una arquitectura basada en complementos y un "mercado" en línea que permite agregar funciones nuevas o actualizadas. El panel de control GUI se ha descrito como fácil de usar. [10]
Puede encontrar una lista extensa de todas las funciones en https://www.zaproxy.org/docs/desktop/start/features/.
Premios
- Una de las herramientas OWASP mencionadas en el premio Bossie 2015 al mejor software de seguridad y redes de código abierto [11]
- Segundo lugar entre las principales herramientas de seguridad de 2014 según lo votado por los lectores de ToolsWatch.org [12]
- Principal herramienta de seguridad de 2013 según la votación de los lectores de ToolsWatch.org [13]
- Herramienta Toolsmith del año 2011 [14]
Ver también
Referencias
- ^ "Zap 2.14.0". 12 de julio de 2023.
- ^ "OWASP ZAP" . Crowdin.com . Consultado el 3 de noviembre de 2014 .
- ^ "Proyecto de seguridad de aplicaciones web abiertas (OWASP)". Openhub.net . Consultado el 3 de noviembre de 2014 .
- ^ "Inventario del proyecto OWASP". Owasp.org . Consultado el 14 de septiembre de 2023 .
- ^ "RADAR DE TECNOLOGÍA Nuestras reflexiones sobre la tecnología y las tendencias que están dando forma al futuro" (PDF) . Pensamientos.com . Consultado el 6 de mayo de 2015 .
- ^ Bennetts, Simon (2014). Pruebas de seguridad para desarrolladores que utilizan OWASP ZAP (voz). JavaOne San Francisco 2014. Oráculo. El evento ocurre a las 23:30 . Consultado el 2 de junio de 2015 .
- ^ "ZAP se une al proyecto de seguridad de software". 1 de agosto de 2023.
- ^ "Dando la bienvenida a ZAP al proyecto de seguridad de software". 31 de julio de 2023.
- ^ "El equipo central de ZAP se trasladará a la Fundación Linux | Fundación OWASP".
- ^ Marcel Birkner (28 de octubre de 2013). "Pruebas de seguridad automatizadas de aplicaciones web mediante la prueba de proxy OWASP Zed Attack" . Consultado el 22 de noviembre de 2016 .
- ^ InfoWorld (16 de septiembre de 2015). "Premios Bossie 2015: El mejor software de seguridad y redes de código abierto". Infoworld.com . Consultado el 21 de septiembre de 2015 .
- ^ "ToolsWatch.org: portal de herramientas del arsenal de hackers» Principales herramientas de seguridad de 2014 votadas por los lectores de ToolsWatch.org ". Toolswatch.org . Consultado el 16 de enero de 2015 .
- ^ "ToolsWatch.org - Portal de herramientas del arsenal de hackers» Principales herramientas de seguridad de 2013 votadas por los lectores de ToolsWatch.org ". Toolswatch.org . Consultado el 3 de noviembre de 2014 .
- ^ Russ McRee (febrero de 2012). "HolisticInfoSec: Herramienta Toolsmith del año 2011: OWASP ZAP". Holisticinfosec.blogspot.com . Consultado el 3 de noviembre de 2014 .
enlaces externos