本文介紹一個滲透測試工具 ─ OWASP ZAP,開發這軟體的主要對象是針對不熟悉滲透測試的開發人員以及測試人員,ZAP簡單的介面令使用者能夠容易地查找Web應用程序漏洞。
ZAP簡介
OWASP Zed Attack Proxy(簡稱 ZAP) 於2010年9月從Open Web Application Security Project (OWASP) 開發,ZAP 是一個測試網頁程式漏洞工具,並設有簡單易用的介面,目的是讓網頁開發員測試自己開發的網頁是否安全,從而找出漏洞的原因。ZAP是一個開放源碼(Open Source) 軟體免費提供給使用者,並提供20種語言,包括英文和中文。
ZAP的主要功能
• 代理伺服器攔截(Intercepting Proxy)
• 網路蜘蛛(Traditional and AJAX spiders)
• 自動化掃瞄(Automated scanner)
• 被動掃瞄(Passive scanner)
• 強制瀏覽(Forced browsing)
• 模糊測試(Fuzzer)
• 動態 SSL憑證(Dynamic SSL certificates)
• 支援多種程式語言(Support for a wide range of scripting languages)
• 支援Plug-n-Hack (Plug-n-Hack support
• 支援身份驗證和會話(Authentication and session support)
• REST 設計風格的API (Powerful REST based API)
• 自動化更新(Automatic updating option)
• 持續更新附加軟件(Integrated and growing marketplace of add-ons)
ZAP安裝及下載
目前最新版本為2.4.3,適用平台包括Windows,Linux以及Mac OS/X。Window以及Linux使用者必需先安裝Java 7。
軟體下載:
OWASP ZAP
