OWASP ZAP
Scan passif et actif
Proxy open source, exploration, scan passif/actif et automatisation contrôlée des tests web.
Scan passif
À vérifier :
- Content-Security-Policy ;
- HSTS ;
- cookies Secure/HttpOnly/SameSite ;
- informations de serveur ;
- cache de données sensibles ;
- formulaires et contenus mixtes.
Scan actif
Le scan actif envoie des charges de test. Il peut modifier les données, générer des erreurs et augmenter la charge.
Politique de scan
- désactive les règles non pertinentes ;
- réduit le nombre de threads ;
- limite la profondeur ;
- configure un délai ;
- utilise un header d'identification si convenu ;
- surveille la santé de l'application.
Validation
Une alerte automatique doit être reproduite manuellement :
- récupérer la requête ;
- comprendre la charge ;
- comparer avec une requête témoin ;
- vérifier l'impact ;
- exclure les réponses génériques.
Sévérité et confiance
ZAP fournit un risque et un niveau de confiance. Le rapport final doit utiliser la sévérité validée par l'analyste et le contexte métier.