EN Contattaci

OWASP ZAP 2.4: scanner di sicurezza web open source

OWASP Zed Attack Proxy (ZAP) 2.4 (settembre 2015): proxy HTTP intercettante, spider/crawler, scanner attivo e passivo, fuzzing, automazione via API REST. Il progetto OWASP Flagship per application security testing.

Cyber SecurityOpen Source
Cyber SecurityOpen Source OWASPZAPWeb SecurityPenetration TestingCyber SecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →Cyber Security

Cyber Security

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Un proxy per il pentest applicativo

OWASP Zed Attack Proxy (ZAP) — avviato nel 2010 da Simon Bennetts come fork dell’antico Paros Proxy — è lo strumento flagship di OWASP per il penetration testing di applicazioni web. Licenza Apache 2.0. Al 2015 la versione 2.4 consolida ZAP come alternativa principale open source a Burp Suite (commerciale, PortSwigger).

Architettura

ZAP è un proxy HTTP/HTTPS intercettante in Java. Configurato come proxy del browser, intercetta tutto il traffico permettendo:

  • Spider — crawl automatico dell’applicazione per scoprire endpoint
  • AJAX Spider — crawl di SPA con browser headless
  • Passive Scanner — analisi non invasiva di ogni request/response (header mancanti, informazioni esposte, cookie senza flag)
  • Active Scanner — invio di payload per testare XSS, SQLi, path traversal, command injection, CSRF, SSRF, ecc.
  • Fuzzer — invio di variazioni di parametri per scoprire behavior anomalo
  • Intruder equivalent — attacco automatizzato con payload custom

Automazione

ZAP espone un’API REST completa che permette integrazione in pipeline CI/CD:

  • zap-baseline.py — scan non intrusivo di un’URL (ideale in CI)
  • zap-full-scan.py — scan attivo completo
  • Docker images ufficiali — owasp/zap2docker-stable
  • GitHub Actions, Jenkins plugin, GitLab integration

Questo pattern rende ZAP usabile per DevSecOps — ogni merge/release può essere testato automaticamente.

Script e add-on

La ZAP Marketplace distribuisce add-on community e ufficiali:

  • Rule packs per standard (OWASP Top 10, PCI-DSS)
  • Integrazione con Sonar, Jira, TeamCity
  • Script in ECMAScript, Zest, Groovy, Python (Jython), Ruby (JRuby) per automazione custom

OWASP governance

Il progetto fa parte della OWASP Foundation, ente no-profit. Lo sviluppo è community-driven con contributor da tutto il mondo. Il Checkmarx dal 2018 al 2024 ha sponsorizzato Simon Bennetts come lead; dal 2024 il progetto entra nel Software Security Project (SSP).

Uso nel SDLC

ZAP copre diverse fasi del Software Development Life Cycle:

  • Sviluppo — proxy durante debug locale
  • CI/CD — scan automatici ad ogni build
  • Pre-produzione — scan approfonditi prima del go-live
  • Pentest — uso manuale da parte di security engineer
  • Bug bounty — tool per ricercatori indipendenti

Nel contesto italiano

Al 2015 ZAP è adottato in Italia principalmente da:

  • Software house che integrano security testing in CI/CD
  • PA in programmi di audit su portali pubblici
  • CERT nazionali e aziendali — verifica vulnerabilità esposte

L’alternativa commerciale Burp Suite rimane preferita per pentest “deep-dive” professionali; ZAP domina per automazione e scenari entry-level.

Riferimenti: OWASP ZAP 2.4 (settembre 2015). Simon Bennetts come lead (2010-2024). Licenza Apache 2.0. Fork di Paros Proxy. OWASP Foundation. Docker images ufficiali, GitHub Actions, Jenkins plugin. Software Security Project (dal 2024).

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi