OWASP ZAP是(shi)一種免費的(de)(de)、開源的(de)(de)滲透(tou)測試工具,主要用(yong)(yong)于鑒(jian)別Web應用(yong)(yong)程序(xu)中(zhong)的(de)(de)漏洞。OWASP ZAP的(de)(de)優點是(shi)能(neng)夠很快地測試Java應用(yong)(yong)程序(xu)中(zhong)的(de)(de)漏洞,包括SQL注入、跨站點腳本攻擊、文(wen)件(jian)包含攻擊等等。OWASP ZAP還支(zhi)持自(zi)定義插(cha)件(jian)功能(neng),可以使用(yong)(yong)自(zi)己的(de)(de)Java代碼來(lai)擴展OWASP ZAP的(de)(de)功能(neng)。
漏洞(dong)分析(xi):對(dui)系統進行掃描來發現其(qi)安全性隱(yin)患
滲透測(ce)試:對系統進行模擬攻擊和(he)分析來確定其安全性漏洞
運行時測試:終端(duan)用(yong)戶對(dui)系統(tong)進行分析(xi)和安全(quan)性測試(手工(gong)安全(quan)性測試分析(xi))
代碼審計:通過代碼審計分析評(ping)估安全性風(feng)險
OWASP是一個(ge)(ge)開源的(de)、非盈利的(de)全(quan)(quan)(quan)(quan)球(qiu)(qiu)性安(an)全(quan)(quan)(quan)(quan)組(zu)(zu)織(zhi),致力(li)于應(ying)用軟件的(de)安(an)全(quan)(quan)(quan)(quan)研(yan)究(jiu)。其使命是使應(ying)用軟件更加(jia)安(an)全(quan)(quan)(quan)(quan),使企業和(he)組(zu)(zu)織(zhi)能夠對應(ying)用安(an)全(quan)(quan)(quan)(quan)風(feng)險作出(chu)更清晰的(de)決策。目前OWASP全(quan)(quan)(quan)(quan)球(qiu)(qiu)擁有220個(ge)(ge)分部(bu)近(jin)六萬名(ming)會員,共同推動了安(an)全(quan)(quan)(quan)(quan)標準、安(an)全(quan)(quan)(quan)(quan)測(ce)試工具、安(an)全(quan)(quan)(quan)(quan)指導手(shou)冊等(deng)應(ying)用安(an)全(quan)(quan)(quan)(quan)技術的(de)發展。
近幾年,OWASP峰會(hui)以及(ji)各國OWASP年會(hui)均取得了巨大的成(cheng)功,推(tui)動了數以百(bai)萬的IT從業人員對(dui)應用安全(quan)的關(guan)注以及(ji)理解,并為各類(lei)企業的應用安全(quan)提(ti)供了明確(que)的指引。