EN Contattaci

OWASP ZAP 2.4: scanner di sicurezza web Open Source

OWASP Zed Attack Proxy (ZAP) 2.4 (giugno 2015): proxy HTTP intercettante, spider/crawler, scanner attivo e passivo, fuzzing, automazione via API REST. Il progetto OWASP Flagship per application security testing.

CybersecurityOpen Source
CybersecurityOpen Source OWASPZAPWeb SecurityPenetration TestingCybersecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan → Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Un proxy per il pentest applicativo

OWASP Zed Attack Proxy (ZAP) — avviato nel 2010 da Simon Bennetts come fork dell’antico Paros Proxy — è lo strumento flagship di OWASP per il penetration testing di applicazioni web. Licenza Apache 2.0. Al 2015 la versione 2.4 consolida ZAP come alternativa principale Open Source a Burp Suite (commerciale, PortSwigger).

Architettura

ZAP è un proxy HTTP/HTTPS intercettante in Java. Configurato come proxy del browser, intercetta tutto il traffico permettendo:

  • Spider — crawl automatico dell’applicazione per scoprire endpoint
  • AJAX Spider — crawl di SPA con browser headless
  • Passive Scanner — analisi non invasiva di ogni request/response (header mancanti, informazioni esposte, cookie senza flag)
  • Active Scanner — invio di payload per testare XSS, SQLi, path traversal, command injection, CSRF, SSRF, ecc.
  • Fuzzer — invio di variazioni di parametri per scoprire behavior anomalo
  • Intruder equivalent — attacco automatizzato con payload custom

Automazione

ZAP espone un’API REST completa che permette integrazione in pipeline CI/CD:

  • zap-baseline.py — scan non intrusivo di un’URL (ideale in CI)
  • zap-full-scan.py — scan attivo completo
  • Docker images ufficiali — owasp/zap2docker-stable
  • GitHub Actions, Jenkins plugin, GitLab integration

Questo pattern rende ZAP usabile per DevSecOps — ogni merge/release può essere testato automaticamente.

Script e add-on

La ZAP Marketplace distribuisce add-on community e ufficiali:

  • Rule packs per standard (OWASP Top 10, PCI-DSS)
  • Integrazione con Sonar, Jira, TeamCity
  • Script in ECMAScript, Zest, Groovy, Python (Jython), Ruby (JRuby) per automazione custom

OWASP governance

Il progetto fa parte della OWASP Foundation, ente no-profit. Lo sviluppo è community-driven con contributor da tutto il mondo e con Simon Bennetts come project lead.

Uso nel SDLC

ZAP copre diverse fasi del Software Development Life Cycle:

  • Sviluppo — proxy durante debug locale
  • CI/CD — scan automatici ad ogni build
  • Pre-produzione — scan approfonditi prima del go-live
  • Pentest — uso manuale da parte di security engineer
  • Bug bounty — tool per ricercatori indipendenti

Nel contesto italiano

Al 2015 ZAP è adottato in Italia principalmente da:

  • Software house che integrano security testing in CI/CD
  • PA in programmi di audit su portali pubblici
  • CERT nazionali e aziendali — verifica vulnerabilità esposte

L’alternativa commerciale Burp Suite rimane preferita per pentest “deep-dive” professionali; ZAP domina per automazione e scenari entry-level.

Riferimenti: OWASP ZAP 2.4 (giugno 2015). Simon Bennetts come lead dal 2010. Licenza Apache 2.0. Fork di Paros Proxy. OWASP Foundation. Docker images ufficiali, GitHub Actions, Jenkins plugin.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi