OWASP Zed Attack Proxy alias ZAP est un outil de scan qui permet de tester la sécurité de votre site. ZAP est un logiciel libre qui se comporte comme un proxy man in the middle. Il se place entre le navigateur du testeur et l’application web afin d’intercepter et d’inspecter les messages envoyés entre ces derniers. Il tente ensuite, si besoin, d’en modifier le contenu si nécessaire, pour enfin transmettre ces paquets à leur destination.
Cet outil peut donc être utilisé par des développeurs qui souhaitent débugger leur application, ou par des chercheurs en sécurité en quête de vulnérabilités. ZAP est fourni avec de nombreux plug-ins (il y a même une marketplace) et permet de faire au choix du scan automatique ou du scan manuel mieux calibré.
La plupart des fonctionnalités de ZAP peuvent ainsi être automatisées que ce soit via des Github Actions, la ligne de commande ou leur framework…etc. Une autre fonctionnalité nommée HUD pour Head Up Display (comme dans les bagnoles) permet de fournir un accès aux fonctions de ZAP directement depuis votre navigateur Firefox.
Bref, c’est vraiment un outil que je vous invite à tester pour évaluer la sécurité de vos sites ou tout simplement auditer vos clients.