Zed Attack Proxy (ZAP) ekibi, OWASP Penetrasyon Test Kiti (PTK) tarayıcı uzantısını doğrudan ZAP tarafından başlatılan tarayıcılara entegre eden OWASP PTK eklentisi sürüm 0.2.0 alfa’yı yayınladı.
Bu, DAST, IAST, SAST, SCA’nın yanı sıra JWT ve çerez düzenleyicileri gibi özel araçları manuel kurulum gerektirmeden yerleştirerek uygulama güvenliği testini kolaylaştırır. ZAP Marketplace aracılığıyla edinilebilen eklenti, PTK’yı Chrome, Edge ve ZAP aracılığıyla proxylenen Firefox oturumlarına önceden yükler.
Kullanıcılar OWASP PTK eklentisini ZAP’ın Marketplace’inden yükler, ardından ZAP’ın özelliği aracılığıyla desteklenen bir tarayıcıyı başlatır. PTK simgesi hemen belirerek hedeflere giriş yapılmasına ve taramaların başlatılmasına olanak sağlar. ZAP trafik yakalamayı, site ağacını, geçmişi ve oturum yönetimini yönetirken, PTK tarayıcıya özgü test araçları sağlar.
PTK’nın DAST’ı, normal tarama sırasında çalışma zamanı taramalarına olanak tanır: taramayı başlatın, formlar ve yönetici sayfaları gibi önemli akışlarda gezinin, durdurun ve bulguları inceleyin.
Kullanıcı etkileşimlerine dayalı SPA’lar için ideal olan bu sistem, gürültüyü en aza indirmek için sıkı alan kapsamıyla birlikte üretim kararlılığı için saniye başına istek ayarlama ve eşzamanlılık önerir. Bulgular, istek araçları aracılığıyla yeniden test edilmek üzere ZAP ile entegre olur.
IAST, yanıt analizinin ötesinde sinyaller için taramalar sırasında aracıları enjekte ederek tarayıcı çalışma zamanı davranışını izler. İzlemeye başlayın, kimliği doğrulanmış rotalara göz atın, ardından DOM mutasyonlarını ve istemci tarafı işleme sorunlarını önceliklendirin.
Bu, kullanıcı arayüzü durumuna bağlı uygulamalarda öne çıkıyor ve tarayıcı iş akışında kalan kalem testçileri için hızlı bağlam sunuyor.
SAST, üretimde yüklenen satır içi ve harici komut dosyalarını analiz ederek repo erişimi olmayan havuzları ve kalıpları tespit eder. Mevcut sayfalarda çalıştırın, doğrulama için bulguları DAST/IAST’a aktarın; özellikle SPA’lardaki üçüncü taraf komut dosyaları için kullanışlıdır. SCA, uygulamaların çalıştırılmasından, yükleme davranışları için ZAP bağlamına sahip paketlerin incelenmesinden kaynaklanan bağımlılık risklerini ortaya çıkarır.
İstek Oluşturucu hızlı yinelemeyi kolaylaştırır: ZAP geçmişindeki trafiği düzenleyin, saldırıları yeniden oynatın, cURL olarak klonlayın veya başlıkları değiştirin. JWT araçları belirteçlerin kodunu çözer, talepleri/algoritmaları değiştirir ve exp veya zayıf HMAC gibi uygulamaları test eder, yanıt farklılıkları için ZAP aracılığıyla yeniden oynatılır. Çerez araçları, oturumun tekrarlanabilirliği için düzenlemeye, engellemeye veya dışa aktarmaya olanak tanır.
Pratik bir rutin, ZAP proxy’li tarayıcıda oturum açmayla başlar, ardından akışlar sırasında PTK DAST/IAST, statik sinyaller için SAST/SCA ve JWT/çerez doğrulaması gelir.
Bu kombinasyon, proxy merkezi olarak ZAP’tan ve hedefe yönelik tarayıcı testi için PTK’dan yararlanarak modern web uygulamalarının kapsamını artırır. İzne dayalı aktif taramaları ve koruyucu ayarları vurgulayın.
19 Ocak 2026’da duyurulan sürüm, Denis Podgurskii’nin katkılarıyla geliştirilen ZAP-PTK sinerjisinde bir dönüm noktasına işaret ediyor. Kalem testçileri, kimliği doğrulanmış, dinamik uygulamalar için verimli, bağlama duyarlı testler elde eder.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
