OWASP ZAP是(shi)一種免費的(de)、開源的(de)滲透(tou)測試工具(ju),主要(yao)用于鑒別Web應(ying)用程序(xu)中(zhong)的(de)漏(lou)洞。OWASP ZAP的(de)優點是(shi)能(neng)夠很快地測試Java應(ying)用程序(xu)中(zhong)的(de)漏(lou)洞,包(bao)括(kuo)SQL注入(ru)、跨站點腳本攻(gong)擊(ji)、文件包(bao)含攻(gong)擊(ji)等等。OWASP ZAP還支持自定義(yi)插(cha)件功能(neng),可(ke)以使用自己的(de)Java代碼(ma)來擴展OWASP ZAP的(de)功能(neng)。
漏(lou)洞分(fen)析:對系統進行(xing)掃描來發現其(qi)安(an)全性隱患
滲(shen)透測試:對系統進(jin)行模擬攻(gong)擊和分(fen)析(xi)來確定(ding)其安全性漏洞(dong)
運行(xing)時測(ce)試:終端(duan)用戶對系統(tong)進行(xing)分(fen)析和安全(quan)(quan)性測(ce)試(手工(gong)安全(quan)(quan)性測(ce)試分(fen)析)
代(dai)碼(ma)審(shen)計:通過代(dai)碼(ma)審(shen)計分析(xi)評估安(an)全性風(feng)險
OWASP是一個開源的、非盈利(li)的全(quan)(quan)(quan)球(qiu)性安(an)(an)全(quan)(quan)(quan)組(zu)織,致力于應用(yong)軟件的安(an)(an)全(quan)(quan)(quan)研究。其使命是使應用(yong)軟件更加安(an)(an)全(quan)(quan)(quan),使企業和組(zu)織能夠(gou)對應用(yong)安(an)(an)全(quan)(quan)(quan)風(feng)險作出(chu)更清(qing)晰的決策。目(mu)前OWASP全(quan)(quan)(quan)球(qiu)擁有220個分部近(jin)六(liu)萬名會(hui)員,共(gong)同推(tui)動了(le)安(an)(an)全(quan)(quan)(quan)標準、安(an)(an)全(quan)(quan)(quan)測試工(gong)具(ju)、安(an)(an)全(quan)(quan)(quan)指導手冊等應用(yong)安(an)(an)全(quan)(quan)(quan)技術的發(fa)展。
近幾年,OWASP峰會以(yi)(yi)及(ji)各國OWASP年會均取得了(le)巨大的成功(gong),推動了(le)數(shu)以(yi)(yi)百萬(wan)的IT從業人(ren)員(yuan)對應用(yong)安(an)全(quan)的關注以(yi)(yi)及(ji)理(li)解(jie),并為各類企(qi)業的應用(yong)安(an)全(quan)提供(gong)了(le)明(ming)確的指引(yin)。