OWASP ZAP

Informations
Première version	4 septembre 2010
Dernière version	2.16.0 (10 janvier 2025)
Dépôt	github.com/zaproxy/zaproxy
Écrit en	Java
Système d'exploitation	Linux, Microsoft Windows et macOS
Environnement	Machine virtuelle Java
Type	Outil de test logiciel (d)
Licence	Licence Apache 2.0
Site web	www.zaproxy.org

OWASP ZAP (abréviation de Zed Attack Proxy) est un scanner de sécurité d'application Web open source. Il est destiné à une utilisation aussi bien par des novices en matière de sécurité des applications que par des testeurs d'intrusion professionnels.

C’est l'un des projets OWASP (Open Web Application Security Project) les plus actifs^[3]. Il a reçu le statut de Flagship^[4].

Lorsqu'il est utilisé comme serveur proxy, ZAP permet à l'utilisateur de manipuler tout le trafic qui le traverse, y compris le trafic utilisant https.

Il peut également fonctionner en mode démon qui est ensuite contrôlé via une API REST.

ZAP a été ajouté au radar technologique ThoughtWorks le 30 mai 2015 dans l'anneau d'essai^[5].

Cet outil a été dérivé de Paros, un autre proxy de pentesting. Simon Bennetts, le chef de projet, a déclaré en 2014 que seulement 20 % du code source de ZAP provenait encore de Paros.

Caractéristiques

ZAP inclut les fonctionnalités suivantes : serveur proxy d'interception, robots d'exploration Web traditionnels et AJAX, analyseur automatisé, analyseur passif, navigation forcée, Fuzzer, prise en charge de WebSocket, langages de script et prise en charge de Plug-n-Hack. Son architecture repose sur des plugins et une « place de marché » en ligne qui permet d'ajouter des fonctionnalités nouvelles ou mises à jour. Son utilisation est réalisée à travers un panneau de contrôle (GUI)^[6].

Récompenses

L'un des outils OWASP mentionnés dans le prix Bossie 2015 du meilleur logiciel de réseau et de sécurité open source^[7]
Deuxième place dans le classement 2014 des outils de sécurité aux termes du vote des lecteurs de ToolsWatch.org^[8]
Meilleur outil de sécurité dans le classement 2013 aux termes du vote des lecteurs de ToolsWatch.org^[9]
Outil d'outillage de l'année 2011 aux termes du vote des lecteurs de HolisticInfoSec^[10]

Articles connexes

Références

↑ Simon Bennetts, « https://github.com/zaproxy/zaproxy/commit/544e8a59a432be2cd5807ad0f85e7f487224bce1 », 4 septembre 2010
↑ « Release 2.16.0 », 10 janvier 2025 (consulté le 26 janvier 2025)
↑ (en) Black Duck, « Open Web Application Security Project (OWASP) », fiche sur l’organisation et les projets associés, sur Open Hub (consulté le 3 novembre 2014)
↑ (en) OWASP, « Project Inventory », sur OWASP.org, 4 juin 2017 (consulté le 13 novembre 2024)
↑ (en) ThoughtWorks, « Technology Radar : Our thoughts on the technology and trends that are shaping the future » [PDF], sur ThoughtWorks.com, mai 2015 (consulté le 6 mai 2015)
↑ (en) Marcel Birkner, « Automated Security Testing Web Applications Using OWASP Zed Attack Proxy test » (blog), sur codecentric.de, 28 octobre 2013 (consulté le 22 novembre 2016)
↑ (en) Matt Sarrel, InfoWorld Staff, « Bossie Awards 2015: The best open source networking and security software », sur Infoworld, 16 septembre 2015 (consulté le 21 septembre 2015)
↑ (en) MaxiSoler, « 2014 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch Hackers Arsenal, sur ToolsWatch.org, 14 janvier 2015 (consulté le 16 janvier 2015)
↑ (en) NJ Ouchn, « 2013 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch Hackers Arsenal, sur ToolsWatch.org, 19 décembre 2013 (consulté le 3 novembre 2014)
↑ (en) Russ McRee, « 2011 Toolsmith Tool of the Year: OWASP ZAP » (blog), HolisticInfoSec, 1^er février 2012 (consulté le 3 novembre 2014)

Liens externes

Site officiel

[wikidata-a325145cc8f51cafd33a6c4c26b7325d9770d566-1] Simon Bennetts, « https://github.com/zaproxy/zaproxy/commit/544e8a59a432be2cd5807ad0f85e7f487224bce1 », 4 septembre 2010

[wikidata-a721faced855a10659e6db468e3f0a54909b4b22-2] « Release 2.16.0 », 10 janvier 2025 (consulté le 26 janvier 2025)

[3] (en) Black Duck, « Open Web Application Security Project (OWASP) », fiche sur l’organisation et les projets associés, sur Open Hub (consulté le 3 novembre 2014)

[4] (en) OWASP, « Project Inventory », sur OWASP.org, 4 juin 2017 (consulté le 13 novembre 2024)

[5] (en) ThoughtWorks, « Technology Radar : Our thoughts on the technology and trends that are shaping the future » [PDF], sur ThoughtWorks.com, mai 2015 (consulté le 6 mai 2015)

[6] (en) Marcel Birkner, « Automated Security Testing Web Applications Using OWASP Zed Attack Proxy test » (blog), sur codecentric.de, 28 octobre 2013 (consulté le 22 novembre 2016)

[7] (en) Matt Sarrel, InfoWorld Staff, « Bossie Awards 2015: The best open source networking and security software », sur Infoworld, 16 septembre 2015 (consulté le 21 septembre 2015)

[8] (en) MaxiSoler, « 2014 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch Hackers Arsenal, sur ToolsWatch.org, 14 janvier 2015 (consulté le 16 janvier 2015)

[9] (en) NJ Ouchn, « 2013 Top Security Tools as Voted by ToolsWatch.org Readers », Toolswatch Hackers Arsenal, sur ToolsWatch.org, 19 décembre 2013 (consulté le 3 novembre 2014)

[10] (en) Russ McRee, « 2011 Toolsmith Tool of the Year: OWASP ZAP » (blog), HolisticInfoSec, 1^er février 2012 (consulté le 3 novembre 2014)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]