Что такое OWASP ZAP?

OWASP ZAP (Zed Attack Proxy) — это open-source инструмент для динамического тестирования безопасности веб-приложений (DAST). ZAP помогает находить уязвимости безопасности в веб-приложениях во время их работы и является одним из самых популярных инструментов для penetration testing.

Основные возможности OWASP ZAP

Автоматическое сканирование — поиск уязвимостей без настройки
Пассивное сканирование — анализ трафика без активного воздействия
Активное сканирование — проведение атак для поиска уязвимостей
Spider/Crawler — автоматическое обнаружение страниц приложения
Fuzzing — тестирование с помощью случайных данных
API тестирование — поддержка REST API и GraphQL
Интеграция в CI/CD — автоматизация security тестирования

Установка OWASP ZAP

# Установка через пакетный менеджер
# Ubuntu/Debian
sudo apt update
sudo apt install zaproxy

# Или скачать с официального сайта
wget https://github.com/zaproxy/zaproxy/releases/download/v2.12.0/ZAP_2_12_0_unix.sh
chmod +x ZAP_2_12_0_unix.sh
./ZAP_2_12_0_unix.sh

# Docker версия
docker pull owasp/zap2docker-stable
docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap-webswing.sh

Базовое использование ZAP

# Запуск ZAP в headless режиме
zap.sh -daemon -host 0.0.0.0 -port 8080

# Быстрое сканирование URL
zap-baseline.py -t http://example.com

# Полное сканирование
zap-full-scan.py -t http://example.com

# API сканирование
zap-api-scan.py -t http://example.com/openapi.json

Интеграция с CI/CD

# GitLab CI пример
security_scan:
  stage: security
  image: owasp/zap2docker-stable
  script:
    - mkdir -p /zap/wrk
    - zap-baseline.py -t $CI_ENVIRONMENT_URL -J zap-report.json
  artifacts:
    reports:
      junit: zap-report.json
    paths:
      - zap-report.json
  allow_failure: true

GitHub Actions интеграция

# .github/workflows/security.yml
name: Security Scan
on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

jobs:
  zap_scan:
    runs-on: ubuntu-latest
    name: OWASP ZAP Scan
    steps:
      - name: Checkout
        uses: actions/checkout@v3

      - name: ZAP Scan
        uses: zaproxy/action-baseline@v0.7.0
        with:
          target: 'https://example.com'
          rules_file_name: '.zap/rules.tsv'
          cmd_options: '-a'

Настройка правил сканирования

# .zap/rules.tsv - файл правил
# IGNORE - игнорировать правило
# WARN - предупреждение
# FAIL - ошибка
# INFO - информация

10021	WARN	(X-Content-Type-Options Header Missing)
10020	IGNORE	(X-Frame-Options Header Not Set)
10016	IGNORE	(Web Browser XSS Protection Not Enabled)
10017	IGNORE	(Cross-Domain JavaScript Source File Inclusion)

API тестирование с ZAP

# Python скрипт для API тестирования
from zapv2 import ZAPv2

# Подключение к ZAP
zap = ZAPv2(proxies={'http': 'http://127.0.0.1:8080', 
                    'https': 'http://127.0.0.1:8080'})

# Импорт OpenAPI спецификации
zap.openapi.import_url('http://example.com/openapi.json')

# Запуск spider
zap.spider.scan('http://example.com')

# Активное сканирование
zap.ascan.scan('http://example.com')

# Получение результатов
alerts = zap.core.alerts()
for alert in alerts:
    print(f"Alert: {alert['alert']}")
    print(f"Risk: {alert['risk']}")
    print(f"URL: {alert['url']}")
    print("---")

Настройка аутентификации

# Настройка form-based аутентификации
zap = ZAPv2()

# Настройка контекста
context_name = "MyApp"
context_id = zap.context.new_context(context_name)

# Добавление URL в контекст
zap.context.include_in_context(context_name, "http://example.com.*")

# Настройка аутентификации
auth_method_name = "formBasedAuthentication"
login_url = "http://example.com/login"
login_request_data = "username={%username%}&password={%password%}"

zap.authentication.set_authentication_method(
    context_id, auth_method_name, 
    f"loginUrl={login_url}&loginRequestData={login_request_data}"
)

# Добавление пользователя
user_name = "testuser"
zap.users.new_user(context_id, user_name)
zap.users.set_authentication_credentials(
    context_id, user_name, "username=admin&password=password"
)

Создание custom скриптов

// ZAP Script для custom проверок
// Passive scan script пример
function scan(ps, msg, src) {
    var url = msg.getRequestHeader().getURI().toString();
    var body = msg.getResponseBody().toString();
    
    // Проверка на наличие debug информации
    if (body.indexOf("DEBUG") !== -1) {
        ps.raiseAlert(
            1,  // risk: High=3, Medium=2, Low=1, Info=0
            1,  // confidence: High=3, Medium=2, Low=1
            "Debug Information Disclosure",
            "Debug information found in response",
            url,
            "",
            "",
            "Remove debug information from production",
            body,
            msg
        );
    }
}

Генерация отчетов

# HTML отчет
zap-cli --zap-url http://localhost:8080 report -o zap-report.html -f html

# JSON отчет
zap-cli --zap-url http://localhost:8080 report -o zap-report.json -f json

# XML отчет
zap-cli --zap-url http://localhost:8080 report -o zap-report.xml -f xml

# Отчет через Python API
import json
from zapv2 import ZAPv2

zap = ZAPv2()
alerts = zap.core.alerts()

with open('security-report.json', 'w') as f:
    json.dump(alerts, f, indent=2)

Интеграция с Jenkins

// Jenkinsfile
pipeline {
    agent any
    
    stages {
        stage('Security Scan') {
            steps {
                script {
                    // Запуск ZAP в Docker
                    sh '''
                        docker run -v $(pwd):/zap/wrk/:rw \
                            -t owasp/zap2docker-stable \
                            zap-baseline.py \
                            -t http://example.com \
                            -J zap-report.json
                    '''
                }
            }
            post {
                always {
                    // Публикация результатов
                    publishHTML([
                        allowMissing: false,
                        alwaysLinkToLastBuild: true,
                        keepAll: true,
                        reportDir: '.',
                        reportFiles: 'zap-report.html',
                        reportName: 'ZAP Security Report'
                    ])
                }
            }
        }
    }
}

Best Practices для ZAP

Используй пассивное сканирование для production окружений
Настрой правила исключений для ложных срабатываний
Интегрируй в CI/CD для регулярного тестирования
Комбинируй с SAST для полного покрытия безопасности
Используй аутентификацию для тестирования защищенных областей
Регулярно обновляй ZAP и его правила

Когда использовать OWASP ZAP

Тестирование безопасности веб-приложений
Penetration testing и security аудит
Интеграция security тестирования в CI/CD
Обучение и изучение веб-безопасности
Compliance требования (PCI DSS, OWASP Top 10)
API security тестирование

Преимущества OWASP ZAP

Бесплатность — полностью open-source решение
Простота использования — интуитивный интерфейс
Активное сообщество — регулярные обновления и поддержка
Гибкость — множество способов интеграции
Расширяемость — поддержка custom скриптов
Стандарты — следует OWASP рекомендациям

Альтернативы OWASP ZAP

Burp Suite — коммерческий инструмент для pen testing
Acunetix — автоматизированный web vulnerability scanner
Nessus — comprehensive vulnerability scanner
Nikto — web server scanner
w3af — web application attack and audit framework
Arachni — web application security scanner

FAQ

Можно ли использовать ZAP на production?

Активное сканирование может нарушить работу приложения. Используй пассивное сканирование или тестируй на копии production окружения.

Как избежать ложных срабатываний?

Настрой файл правил (.zap/rules.tsv) для игнорирования известных ложных срабатываний и адаптируй сканирование под твое приложение.

Подходит ли ZAP для API тестирования?

Да, ZAP отлично поддерживает REST API, GraphQL и может импортировать OpenAPI/Swagger спецификации для автоматического тестирования.

Что такое OWASP ZAP?

Open-source инструмент для динамического тестирования безопасности веб-приложений и поиска уязвимостей