Featured image of post Guía de OWASP ZAP para pruebas de seguridadFeatured image of post Guía de OWASP ZAP para pruebas de seguridad

Guía de OWASP ZAP para pruebas de seguridad

Practical OWASP ZAP guide covering installation, active and passive scanning, vulnerability detection, report generation, and security testing automation.

OWASP ZAP (Zed Attack Proxy) es una herramienta de seguridad open source para encontrar vulnerabilidades en aplicaciones web.

Instalación

Descarga desde zaproxy.org. Versión con JRE incluida. O via Docker: docker pull softwaresecurityproject/zap-stable.

Escaneo automático

Spider: rastrea URLs. Active Scan: inyecta payloads de seguridad. Modo automático: zap -quickurl https://target.com.

Integración CI/CD

ZAP API para automatización. zap-full-scan.py para escaneo completo. zap-api-scan.py para APIs. Reports en JSON/HTML.

Principales hallazgos

XSS, SQL Injection, CSRF, missing headers (CSP, HSTS), authentication bypass, directory traversal, información sensible expuesta.