Thiago Teixeira
EN | PT

OWASP ZAP

OWASP

Scanner gratuito de segurança web da OWASP com varredura ativa e passiva.

Gestão de Vulnerabilidades Gratuito e Open Source Plataforma / Suíte Em Estudo Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O OWASP ZAP (Zed Attack Proxy) é o scanner web open-source da OWASP. Alternativa natural ao Burp quando não há orçamento ou quando o scan precisa rodar em CI/CD.

Pontos fortes:

  • Modos automatizado e manual.
  • HUD sobre o navegador para teste manual guiado.
  • Add-ons com regras extras.
  • Integração CI (zap-baseline.py, zap-full-scan.py).

Casos de uso

  • Estágio DAST em pipeline DevSecOps
  • Alternativa gratuita ao Burp para pequenas empresas
  • Ambientes de treinamento sobre OWASP Top 10

Exemplo

docker run --rm -t owasp/zap2docker-stable \
  zap-baseline.py -t https://target.example.com