OWASP Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновения и нахождения уязвимостей в веб-приложениях. Он создан для использования людьми с различным опытом в сфере безопасности, и поэтому идеален для разработчиков и функциональных тестеров, которые новички в тестировании на проникновении. Но эта программа не окажется бесполезной и для опытных пентестеров — она найдёт своё место и в их наборе инструментов. Некоторые из функций ZAP: Перехват ****** Традиционный и AJAX пауки Автоматизированный сканер Пассивный сканер Принудительный просмотр Фаззлер Динамические SSL сертификаты Поддержрка смарткарт и клиентских цифровых сертификатов (Smartcard и Client Digital Certificates) Поддержка веб-сокетов Поддержка аутентификаций и сессий Мощный REST на основе API Поддержка большого количества скриптовых языков Опция автоматического обновления Интегрированный дополнения и растущий маркет обновлений Некоторые из особенностей ZAP: Открытый исходный код Кросс-платформенная Простая в установке (требуется Java 1.7) Совершенно бесплатная (нет платы за ‘Pro’ версию) Приоритетом является простота в использовании Всесторонняя справка Полностью интернационализована Переведена на десятки языков Основана на сообществе с привлечением активного поощрения Активно развивается международной командой добровольцев Инструкция по использованию ZAProxy Всё довольно просто. Для запуска программы введите в терминал zaproxy Откроется графический интерфейс. Введите адрес сайта и нажмите кнопку «Атака». После этого паук начнёт строить дерево страниц сайта, а сканер проводить различные тесты с найденными страницами. При появлении уязвимостей, будут появляться цифры рядом с флажками: красные означают крайне серьёзные уязвимости (вроде SQL-инъекций и XSS). В дереве страниц сайта уязвимые страницы также будут помечены. Для просмотра всех найденных уязвимостей и замечаний по безопасности, перейдите во вкладку "Оповещения": Сегодняшняя инструкция довольно короткая — дополнительные опции вы можете посмотреть самостоятельно, думаю, много вопросов они не вызовут.