Sep 6, 2018 · 2 min read
OWASP ZAP — CÔNG CỤ PENTESTING ĐỂ TÌM RA LỖ HỔNG TRONG CÁC ỨNG DỤNG WEB
OWASP Zed Attack Proxy (ZAP) là công cụ dễ sử dụng cho việc pentest ứng ứng dụng web. Nó được thiết kế để sử dụng bởi các chuyên gia bảo mật và người phát triển, kiểm thử chức năng những người mới tham gia pentest sẽ có thêm những trải nghiệm mới, bổ sung cho các toolbox kiểm thử. ZAP cho phép quét tự động cũng như các phần để các bạn thực hiện quét thủ công.
Một số tính năng, đặc điểm của ZAP:
- Mã nguồn mở
- Ứng dụng đa nền tảng
- Dễ cài đặt (chỉ yêu cầu java 1.7)
- Hoàn toàn miễn phí (Không mất phí cho phiên bản Pro)
- Dễ sử dụng
- Có pages trang chủ trợ giúp
- Quốc tế hoàn toàn
- Cho phép nhiều ngôn ngữ
- Có cộng đồng, tích cực tham gia
- Phát triển tích cực bởi nhóm tình nguyện viên
Một số chức năng của ZAP:
- Sử dụng Proxy
- Traditional and AJAX spiders
- Quét tự động
- Passive scanner
- Forced browsing
- Fuzzer
- Dynamic SSL certificates
- Smartcard and Client Digital Certificates support
- Hỗ trợ Web sockets
- Hỗ trợ cho nhiều ngôn ngữ
- Plug-n-Hack support
- Authentication and session support
- Powerful REST based API
- Tự động cập nhật tính năng
- Tích hợp và phát triển add-ons
ZAP 2.7 là phiên bản release
Một số cải tiến quan trọng hơn bao gồm:
- Cho phép chạy trình duyệt từ ZAP, bỏ qua các cảnh báo chứng chỉ
- Cho phép ZAP nghe nhiều địa chỉ/cổng
- Hỗ trợ server name chỉ định
- Nhiều endpoints API mới
- Xem thêm…
Download Now
OWASP ZAP Tutorial