OWASP ZAP
OWASP ZAP (abr. para Zed Attack Proxy) es un escáner de seguridad web de código abierto. Pretende ser utilizado como una aplicación de seguridad y como una herramienta profesional para pruebas de penetración.
| OWASP ZAP | ||
|---|---|---|
| Información general | ||
| Tipo de programa | Seguridad informática | |
| Autor | The Open Web Application Security Project | |
| Desarrollador | Simon Bennetts | |
| Licencia | Licencia Apache | |
| Estado actual | Activo | |
| Información técnica | ||
| Programado en | Java | |
| Plataformas admitidas | máquina virtual Java | |
| Versiones | ||
| Última versión estable | 2.7.0 2017-11-28 | |
| Asistencia técnica | ||
| Enlaces | ||
| Sitio web oficial Blog Repositorio de código | ||
Es uno de los proyectos más activos de OWASP.[1] y se le ha dado un estatus de desarrollo insignia.[2] OWASP ZAP ha sido traducido a por lo menos 25 idiomas.[3]
Cuándo se usa como servidor proxy permite a los usuarios manipular todo el tráfico que pasa a través de este, incluyendo el tráfico del protocolo seguro HTTPS.
La aplicación puede desempeñarse en modo residente el cual es controlado mediante el API REST.
Esta herramientas es multiplataforma, pues se ha escrito en Java y está disponible en sistemas tales como Windows, Linux y Mac OS X.
ZAP fue añadido al Radar de Tecnología de ThoughtWorks en mayo de 2015 en el anillo de prueba.[4]
Características
Entre las características disponibles se encuentran:
- Servidor proxy de interceptación.
- Rastreadores web tradicionales y por AJAX.
- Escáner automatizado.
- Escáner pasivo.
- Navegación forzada.
- Fuzzer
- Soporte para WebSocket.
- Lenguajes de scripting y compatibilidad con Plug-n-Hack.
OWASP ZAP tiene una arquitectura basada en complementos y un 'mercado' en línea que permite agregar características nuevas o actualizadas. El panel de control de GUI es fácil de usar.[5]
Premios
- Una de las herramientas de OWASP mencionadas en el premio Bossie de 2015 al mejor software de red y seguridad de código abierto[6]
- Segundo puesto en el "Top Security Tools of 2014" votado por los lectores de readers ToolsWatch.org[7]
- Top Security Tool (herramienta de la mayor seguridad) de 2013 votado por los lectores de ToolsWatch.org[8]
- Herramienta del año de Toolsmith en 2011[9]
Véase también
- Seguridad web
- OWASP Open Web Application Security Project
- WebScarab Herramienta de seguridad creada antes por OWASP.
- Fiddler (software)
Referencias
- «Open Web Application Security Project (OWASP)». Consultado el 3 de noviembre de 2014.
- «OWASP Project Inventory». Consultado el 3 de noviembre de 2014.
- «OWASP ZAP». Consultado el 3 de noviembre de 2014.
- «TECHNOLOGY RADAR Our thoughts on the technology and trends that are shaping the future» (PDF). Consultado el 6 de mayo de 2015.
- Marcel Birkner. «Automated Security Testing Web Applications Using OWASP Zed Attack Proxy». Consultado el 22 de noviembre de 2016.
- InfoWorld. «Bossie Awards 2015: The best open source networking and security software». Consultado el september de 21 de 2015.
- «ToolsWatch.org – The Hackers Arsenal Tools Portal » 2014 Top Security Tools as Voted by ToolsWatch.org Readers». Consultado el 16 de enero de 2015.
- «ToolsWatch.org – The Hackers Arsenal Tools Portal » 2013 Top Security Tools as Voted by ToolsWatch.org Readers». Consultado el 3 de noviembre de 2014.
- Russ McRee. «HolisticInfoSec: 2011 Toolsmith Tool of the Year: OWASP ZAP». Consultado el 3 de noviembre de 2014.
Enlaces externos
- Sitio oficial