OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。
也可以说ZAP是一个中间人代理。它能够获取你对Web应用程序发出的所有请求以及你从中收到的所有响应。
它即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。
OWASP-ZAP可以在windows、linux和mac下运行,Kali中自带OWASP-ZAP
OWASP-ZAP主要拥有以下重要功能:
- 本地代理
- 主动扫描
- 被动扫描
- Fuzzy
- 暴力破解
虽然OWASP-ZAP拥有很多的功能,但是他最强大的功能还是主动扫描,可以自动对目标网站发起渗透测试,可以检测的缺陷包括路径遍历、文件包含、跨站脚本、sql注入等等。
ZAP Jenkins 插件
随着越来越多的公司转向 DevSecOps 或采用敏捷安全测试方法,将动态应用程序安全性测试工具集成到他们的持续集成/持续交付管道(如 Jenkins )中正成为一种常态。拥有插件对于这样的集成至关重要。
ZAP 的 Jenkins 插件 可以在 CI / CD pipeline 内集成安全测试。通过 Jenkins 插件,我们帮助客户将 ZAP 无缝集成到 DevOps pipeline 中,允许团队在每个版本中运行自动扫描。该插件可在流水线中启用多个 ZAP 操作,如 Spider Scans,AJAX Spidering,Active Scan,Managing Sessions,定义上下文和关联结果。
使用方法可以百度查询
7个特性让ZAP成为应用安全测试中的重要工具 - 云+社区 - 腾讯云