Zed Attack Proxy Project (ZAP)

Mehr Sicherheit für Webanwendungen

| Autor: Thomas Joos

Mehr Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP)
Mehr Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP) (Thomas Joos)

Jeder Administrator oder Entwickler, der eine Webanwendung betreibt oder verwaltet, muss mit Sicherheitslücken kämpfen. Vor allem bei Webshops, Blogs, Wikis oder Webseiten mit Authentifizierung besteht auch noch die Gefahr, dass Kundendaten an Unbefugte gelangen.

Aus diesem Grund sollten sich Verantwortliche mit dem Thema Penetrationstests auseinandersetzen, also dem gezielten Suchen nach unsicheren Bereichen in der Webanwendung. Zed Attack Proxy Project (ZAP) vor bietet umfassende Sicherheitsanalysen und Tests für verschiedene Arten von Webangriffen. Die Einrichtung ist schnell erledigt, die Tests sind aussagekräftig, und das Tool ist ein gutes Hilfsmittel beim Entdecken von Sicherheitslücken.

ZAP dient als Zusatztool, um Ihre bereits bestehende Sicherheitsinfrastruktur und die Webanwendungen zu testen. Vorteil von ZAP ist die, im Vergleich mit anderen Tools, einfache und schnelle Installation, wenn Sie zum Beispiel die Windows-Variante herunterladen. Sie benötigen auf den Servern, die Sie testen, keinen Agent und müssen auch keine Änderungen vornehmen. Sie benötigen nur einen PC oder einen Server, der Verbindung mit der Webanwendung aufbauen kann. Auf diesem installieren Sie ZAP und Java und schon können Sie mit den Tests Ihrer Webanwendung beginnen. Das Tool können auch Administratoren und Webentwickler verwenden, die keine großen Erfahrungen mit Penetrationstests haben. Daher ist das Tool durchaus auch für Anwendungstester geeignet, die Webanwendungen auf Sicherheitslücken hin überprüfen sollen.

ZAP können Sie auf Basis von Linux, MacOS X, aber auch auf Windows-Rechnern betreiben. Dazu müssen Sie nicht unbedingt Windows-Server verwenden, sondern können ZAP auch auf Rechnern mit Windows XP/Vista/7 und Windows 8.1/10 betreiben.  Der Download hat in etwa eine Größe von 55 MB. Zusätzlich zu ZAP benötigen Sie auf dem Rechner eine aktuelle Java-Umgebung. Diese können Sie aber direkt über den Installer herunterladen und installieren. Das Tool gehört zum OpenSource-Projekt „Open Web Application Security Project (OWASP)“ (https://www.owasp.org).