สำหรับบทความนี้ ทีมงาน TechTalkThai จะมาแนะนำ Tool ฟรีที่น่าสนใจสำหรับ Pen Tester และ IT Admin ครับ เป็น Tool สำหรับสแกนและตรวจสอบช่องโหว่ของเว็บแอพพลิเคชันจาก OWASP องค์กรการกุศลชื่อดังเจ้าของ OWASP Top 10 สำหรับความปลอดภัยด้านเว็บแอพพลิเคชัน เรียกว่า OWASP Zed Attack Proxy (ZAP)
OWASP ZAP เป็น Tool แบบ Open source สำหรับทำ Pen Test เพื่อค้นหาช่องโหว่บนเว็บแอพพลิเคชันตาม OWASP Top Ten พัฒนาโดยภาษา Java ส่งผลให้สามารถทำงานได้บนทุกระบบปฏิบัติการไม่เว้นแม้บน Raspberry Pi โดยมีคุณสมบัติเด่น ดังนี้
- Intercepting Proxy
- Traditional and AJAX spiders
- Automated scanner
- Passive scanner
- Forced browsing
- Fuzzer
- Dynamic SSL certificates
- Smartcard and Client Digital Certificates support
- Web sockets support
- Support for a wide range of scripting languages
- Plug-n-Hack support
- Authentication and session support
- Powerful REST based API
- Automatic updating option
- Integrated and growing marketplace of add-ons
OWASP ZAP เหมาะสำหรับนักพัฒนาเว็บแอพพลิเคชัน ผู้ดูแลระบบ และนักเจาะระบบ ที่ต้องการตรวจสอบและค้นหาช่องโหว่บนเว็บแอพพลิเคชัน ผู้ที่สนใจสามารถดาวน์โหลด Tool นี้ไปทดลองใช้งานได้ฟรีที่ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
รายละเอียดเพิ่มเติม: https://github.com/zaproxy/zaproxy/wiki/Introduction