OWASP Zed Attack Proxy, web uygulaması sızma testi yapmak için yaygın olarak kullanılan bir araçtır. Ücretsiz ve açık kaynaklıdır.
ZAP, test cihazının tarayıcısı ile web uygulaması arasında bir proxy işlevi görerek mesajları yakalar ve inceler.
ZAP, geliştiricilerden güvenlik testi uzmanlarına ve güvenlik testi konusunda yeni olanlara kadar çeşitli profesyonellere hizmet veren bir araçtır.
ZAP 2.13.0
ZAP 2.13.0’ın yeni sürümü, HTTP/2 desteği, geliştirilmiş kimlik doğrulama yönetimi ve Mac Silicon ekler.
ZAP sürüm 2.13.0’dan itibaren, HTTP/2 varsayılan olarak desteklenmektedir; yapılandırma değişikliği gerekmez.
Yeni sürüm, kimlik bilgileriyle birlikte yalnızca oturum açma sayfası URL’sini sağlayarak birçok web uygulamasının otomatik olarak doğrulanmasına yardımcı olan kimlik doğrulama yönetimini de geliştirir.
En son güncelleme artık yükleyici ve docker görüntülerinde Mac Silicon desteğine izin veriyor. Docker görüntülerini GitHub Container Registry’den edinebilirsiniz.
Yeni Ölçeklenebilir Seçenekler
Zap sürüm notları, “Hem örümcekler hem de aktif tarayıcı dahil olmak üzere iş parçacığı kullanan tüm “saldırı” araçları, varsayılan iş parçacığı sayısı olarak 2 kat daha fazla işlemci kullanacak şekilde değiştirildi” diyor.
Ağ Hızı Sınırlama özelliği, pentesterlerin HTTP/HTTPS istek hızını sınırlamasına ve aşırı yüklenmeyi önlemesine olanak tanır.
ZAP ile, sızma testçilerinin aşağıdakiler gibi popüler güvenlik açıklarını taramasına olanak tanıyan yeni tarama kuralları eklendi;
Yeni Eklentiler
Selenium eklentisi, Selenium v4 kitaplığını kullanacak şekilde güncellendi.
Test uzmanlarının ZAP ile kimlik doğrulamayı tanımlamasına ve kurmasına yardımcı olan Selenium Kimlik Doğrulama Yardımcısı ile birlikte yayınlandı.
Geliştirmelerin ve düzeltmelerin tam listesi burada bulunabilir.