OWASP ZAP (kurz für Zed Attack Proxy) ist ein Open-Source-Sicherheitsscanner für Webanwendungen. Er ist sowohl für Neueinsteiger in die Anwendungssicherheit als auch für professionelle Penetrationstester gedacht.
Ich nutzte OWASP Zap in diversen Projekten, u.a. Magento und Salesforce Projekten um eben Schwachstellen Test auszuspüren. Durch seine starke Erweiterbarkeit über Skripte und Plugins kann man mit OWASP ZAP ein sehr nützliches Toolsetting aufbauen, welches eben auch recht einfach in eine Continuous Integration Umgebung eingebunden werden kann.
OWASP Zap bietet eine direkte Integration in Jenkins an, und kann so tägliche oder wöchentliche Scans eurer Projekte vornehmen, samt eines sehr ausführlichen Reporting.
Dies hebt OWASP Zap hervor gegenüber käuflichen Softwarelösungen, wo man dann erst im Premium Modus eine Integration in einen CI Workflow erhält. Ich hatte in anderen Projekten unteranderem Acunetix genutzt, dies bot aber eine entsprechende Einbindung erst ab einem Premium Modus an (Stand 2016).
OWASP Zap lässt sich nicht nur mit eigenen Skripten stark erweitern, sondern man kann durch das Community Addon Community Skripte nutzen.
Gerade die hervorragende Einbindung in bestehende CI Workflows lässt Owasp ZAP zu dem Security Tool anwachsen, was die meiste Aussagekraft hat im Bezug auf Sicherheitsrelevante Webapplikationen
Neueste Kommentare