Tools wie Zed Attack Proxy (ZAP) [1] lassen sich zwar dazu nutzen, um Sicherheitslücken in Webanwendungen zu entdecken. Solche Tools können aber kein Ersatz für eine grundlegende Sicherheitsstrategie von Webanwendungen sein. Zed Attack Proxy dient eher als Zusatztool, um eine bestehende Sicherheitsinfrastruktur und die Webanwendungen zu testen. Ein Vorteil von ZAP ist die einfache und schnelle Installation, wenn Sie zum Beispiel die Windows-Variante herunterladen. Sie benötigen auf den Servern, die Sie testen, keinen Agenten und müssen auch keine Änderungen vornehmen.
Das vom Open Web Application Security Project (OWASP) [2] stammende ZAP können Sie mit Linux, OS X und Windows betreiben. Die Windows- und Linux-Versionen setzen Java 7 voraus. Die Datei für OS X bringt Java 7 gleich mit. Wer das nicht möchte, sollte das Cross-Platform-Paket herunterladen. Die wichtigsten Funktionen von ZAP finden Sie in der Tabelle.
In den nachfolgenden Abschnitten zeigen wir, wie Sie das Tool installieren und einsetzen. Wir führen die Installation auf einem Rechner mit Windows Server 2012 R2 durch.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.