https://www.owasp.org/index.php/ZAP
2013年1月30日付けでBlogも公開されていた。
http://owasp.blogspot.jp/2013/01/owasp-zed-attack-proxy-v-200.html
特長ある機能としては、「ZAP Add-on Marketplace」で、誰かがCodeを書いたものをMarketplaceからDLして使える機能。まだ使っていないけど、面白いかも。
他にも、いろんな機能が追加されているみたい。
1) 最新のWindows InstallerとLanguage Packをダウンロード
http://code.google.com/p/zaproxy/downloads/list
2) Windows Installerを使ってインストール
3) Language PackをZAPフォルダに置く
例) C:\Program Files (x86)\OWASP\Zed Attack Proxy\lang (Win7の場合)
4) OWASP ZAPを起動
5) ローカルマシンでXAMMPが立ち上がっている状態で、QuickScanをしてみた
6) 脆弱性の種類(右下)、スキャンしたファイル名(上)、ディレクトリ構造(左下)が表示された。
OWASP ZAPの良いところは、ディレクトリ構造をみつけてくれるSpider検索もそうなんだが、HTTPリクエストとレスポンスを再現してくれるところ。↓この画面が、HTTP通信を再現してくれる画面。
