URN_NBN_SI_DOC-RKSH48DC

Kako lahko OWASP pomaga revizorjem? 17 13. OWASP ZAP OWASP ZAP [9] je eno izmed najbolj prepoznanih orodij s seznama orodij OWASP. Je brezplačen in odprtokodni produkt, razvit v programskem jeziku Java. Najdemo ga v večini namenskih distribucij, ki se uporabljajo za preverjanje varnosti. Lahko pa ga namestimo tudi na poljuben operacijski sistem (Windows, Linux, Mac OS). OWASP ZAP je aplikacijski »proxy« 7 , s katerim se lahko postavimo med brskalnik in spletni strežnik ter tako pridobimo vpogled nad komunikacijo brskalnika in odjemalčevega dela spletne aplikacije ter spletnim strežnikom. Na ta način lahko pridobimo podatke, kako komunikacija poteka, kakšni podatki se pošiljajo med strežnikom in brskalnikom, ter lahko aktivno spreminjamo klice na strežnik in spremljamo ter preverjamo pravilno in varno delovanje aplikacije. OWASP ZAP ima poleg razširitev, ki omogočajo veliko dodatnih funkcionalnosti, tudi enostaven način za preverjanje varnosti spletnih aplikacij. Po zagonu programa je dovolj vpisati URL-naslov aplikacije in zagnati simuliran napad. Po analizi bo aplikacija pripravila poročilo o odkritih pomanjkljivostih, ki je lahko dobro izhodišče za pripravo poročila o varnosti aplikacije. Treba je razumeti določene izraze in termine za uspešno pripravo poročila ter tudi omejitve orodij. Pri testiranju lahko avtomatska orodja prepoznajo veliko lažnih pomanjkljivosti, ki jih je treba potem ročno preveriti in potrditi njihov obstoj. Slika 4: Prikaz začetka enostavnega testiranja Vir : https://www.zaproxy.org/getting-started/ , 2020. 7 Posrednik.