網頁弱點掃描工具-何謂OWASP ZAP

OWASP ZAP（Zed Attack Proxy 的縮寫）是一個開放源始碼網站安全掃描工具。 是提供給那些剛接觸資訊安全應用程式的人以及專業滲透測試人員使用。

ZAP 於2010年9月從 Open Web Application Security Project (OWASP) 開發，目前為全世界最受歡迎的網頁程式漏洞檢測工具。

它是最活躍的開放式網站 應用程式安全項目 (OWASP) 項目之一，並已獲得旗艦地位。

滲透測試工具(OWASP ZAP) 讓網頁開發員可以自行測試自己開發的網頁是否安全，從而找出漏洞的原因。在安全性測試領域，安全性測試主要可以由以下幾種測試策略來覆蓋：

漏洞分析 - 對系統進行掃描來發現其安全性隱患。

滲透測試 - 對系統進行模擬攻擊和分析來確定其安全性漏洞。

運行時測試 - 終端用戶對系統進行分析和安全性測試（手工安全性測試分析）。

代碼審計 - 通過代碼審計分析評估安全性風險（靜態測試，評審）。

而ZAP主要是用於應用上述的第二種測試，即滲透性測試。

OWASP是一個開源的、非盈利的全球性安全組織，致力於應用軟件的安全研究。其使命是使應用軟件更加安全，使企業和組織能夠對應用安全風險作出更清晰的決策。目前OWASP全球擁有220個分部近六萬名會員，共同推動了安全標準、安全測試工具、安全指導手冊等應用安全技術的發展。

近幾年，OWASP峰會以及各國OWASP年會均取得了巨大的成功，推動了數以百萬的IT從業人員對應用安全的關注以及理解，並為各類企業的應用安全提供了明確的指引。OWASP被視為web應用安全領域的權威參考。2009年發布的美國國家和國際立法、標準、準則、委員會和行業實務守則參考引用了OWASP。美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP十大WEB弱點防護守則。