OWASP Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновения и нахождения уязвимостей в веб-приложениях.

Он создан для использования людьми с различным опытом в сфере безопасности, и поэтому идеален для разработчиков и функциональных тестеров, которые новички в тестировании на проникновении. Но эта программа не окажется бесполезной и для опытных пентестеров – она найдёт своё место и в их наборе инструментов.

Некоторые из функций ZAP:

• Перехват прокси
  
• Традиционный и AJAX пауки
  
• Автоматизированный сканер
  
• Пассивный сканер
  
• Принудительный просмотр
  
• Фаззлер
  
• Динамические SSL сертификаты
  
• Поддержрка смарткарт и клиентских цифровых сертификатов (Smartcard и Client Digital Certificates)
  
• Поддержка веб-сокетов
  
• Поддержка аутентификаций и сессий
  
• Мощный REST на основе API
  
• Поддержка большого количества скриптовых языков
  
• Опция автоматического обновления
  
• Интегрированный дополнения и растущий маркет обновлений

Некоторые из особенностей ZAP:

• Открытый исходный код
  
• Кросс-платформенная
  
• Простая в установке (требуется Java 1.7)
  
• Совершенно бесплатная (нет платы за ‘Pro’ версию)
  
• Приоритетом является простота в использовании
  
• Всесторонняя справка
  
• Полностью интернационализована
  
• Переведена на десятки языков
  
• Основана на сообществе с привлечением активного поощрения
  
• Активно развивается международной командой добровольцев

Инструкция по спользованию ZAProxy
Всё довольно просто. Для запуска программы введите в терминал

Код:


Откроется графический интерфейс. Введите адрес сайта и нажмите кнопку «Атака».





После этого паук начнёт строить дерево страниц сайта, а сканер проводить различные тесты с найденными страницами. При появлении уязвимостей, будут появляться цифры рядом с флажками: красные означают крайне серьёзные уязвимости (вроде SQL-инъекций и XSS). В дереве страниц сайта уязвимые страницы также будут помечены.

Для просмотра всех найденных уязвимостей и замечаний по безопасности, перейдите во вкладку "Оповещения":





Сегодняшняя инструкция довольно короткая — дополнительные опции вы можете посмотреть самостоятельно, думаю, много вопросов они не вызовут.