Zed Attack Proxy (ZAP) es una herramienta libre, de fuente abierta, para pruebas de penetración, mantenida bajo el paraguas de OWASP (Open Web Application Security Project). ZAP está diseñado específicamente para probar aplicaciones web, siendo flexible y ampliable.

En su núcleo ZAP es conocido como un “Proxy de hombre en el medio”. Se sitúa entre el navegador del evaluador y la aplicación web, de tal manera pueda interceptar e inspeccionar los mensajes enviados entre el navegador y la aplicación web, modificando sus contenidos si es necesario, y luego reenviando estos paquetes hacia su destino. Puede ser utilizado como una aplicación autónoma, y como un proceso demonio.

Si existe otro proxy siendo utilizado en la red, como en entornos corporativos, ZAP puede ser configurado para conectarse hacia este proxy.

ZAP proporciona funcionalidades para profesionales con una amplio rango de niveles en conocimientos, desde desarrolladores, hasta evaluadores nuevos en pruebas de seguridad, hasta especialistas en pruebas de seguridad. ZAP tiene versiones para cada uno de los principales sistemas operativos y Docker, por lo cual no se está atado hacia un único sistema operativo. Funcionalidades adicionales están disponibles libremente desde una diversidad de add-ons en el MarketPlace de ZAP, accedible desde el cliente ZAP.

Debido ZAP es de fuente abierta, el código fuente puede ser examinado para ver exactamente como se implementan sus funcionalidades. Cualquiera puede voluntariamente trabajar en ZAP, arreglando fallas, añadiendo características, creando solicitudes para introducir correcciones hacia el proyecto, y crear add-ons para soportar situaciones especializadas.

Como la mayoría de proyectos de fuente abierta, son bienvenidas las donaciones para ayudar con los costos para los proyectos. Se puede encontrar un botón de donación en su página oficial.

Fuentes:

https://www.zaproxy.org/getting-started/
https://owasp.org/www-project-zap/