OWASP ZAP (Zed Attack Proxy) es una herramienta de seguridad open source para encontrar vulnerabilidades en aplicaciones web.
Instalación
Descarga desde zaproxy.org. Versión con JRE incluida. O via Docker: docker pull softwaresecurityproject/zap-stable.
Escaneo automático
Spider: rastrea URLs. Active Scan: inyecta payloads de seguridad. Modo automático: zap -quickurl https://target.com.
Integración CI/CD
ZAP API para automatización. zap-full-scan.py para escaneo completo. zap-api-scan.py para APIs. Reports en JSON/HTML.
Principales hallazgos
XSS, SQL Injection, CSRF, missing headers (CSP, HSTS), authentication bypass, directory traversal, información sensible expuesta.

