OWASP ZAP
Proxy et exploration
Proxy open source, exploration, scan passif/actif et automatisation contrôlée des tests web.
Modes
ZAP peut être utilisé en interface graphique, en démon/API ou via conteneur. Commence par l'exploration manuelle pour comprendre l'application.
Quick Start
- Manual Explore : ouvre un navigateur configuré ;
- Automated Scan : spider puis scan actif selon configuration.
Contextes
Crée un contexte pour limiter :
- les URL incluses ;
- les URL exclues ;
- l'authentification ;
- les utilisateurs de test ;
- les technologies.
Scan passif
Le scanner passif analyse les réponses traversant le proxy sans envoyer d'attaque spécifique. Il recherche headers, cookies, contenus mixtes et expositions.
Spider
Le spider classique suit les liens ; l'AJAX Spider exécute davantage le JavaScript. Exclue les fonctions dangereuses : suppression, paiement, logout global, import massif.
Attention
Même l'exploration peut déclencher des actions via des liens ou formulaires. Utilise un environnement de test et des comptes dédiés.