Open Source im professionellen Einsatz

Zed Attack Proxy mit Ajax-Spider und Websockets

31.01.2013

Das Open Web Application Security Project (OWASP) hat sein Tool Zed Attack Proxy (ZAP) in Version 2.0.0 mit vielen neuen Features veröffentlicht.

165

Neben gewöhnlichen HTTP-Requests kann das Programm nun auch Websockets-Verbindungen belauschen und verändern. Den in die Jahre gekommenen Spider haben die Entwickler komplett neu geschrieben. An seine Seite gesellt sich zudem ein neuer Crawler. Dieser beruht auf dem Crawljax-Projekt und unterstützt auch Ajax-Elemente der untersuchten Webanwendungen, indem er per Selenium einen Javascript-fähigen Webbrowser steuert. Der in Java umgesetzte ZAP lässt sich außerdem nach dem JSR 223 mit Skripten steuern. Session-Unterstützung, ein Marketplace für Addons sowie drei verschiedene Betriebsmodi bringt die neue Release ebenfalls.

ZAP dient zum Penetration Testing von Webanwendungen. Der Anwender setzt das Tool als Proxy zwischen einem Browser und einem Webserver ein und kann so die übertragenen Header und Daten analysieren und modifizieren. Daneben bietet er Spider und Scanner sowie einen Report-Generator. Auf der Projektseite im OWASP-Wiki findet sich ein einführendes Video.

Die Software steht unter LGPLv2.1 und verwendet eine Vielzahl weiterer Open-Source-Komponenten. ZAP 2.0.0 steht als JAR-Archiv sowie als Windows-Binary und im Quelltext zum Download bereit.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.