OWASP ZAP


Da habe ich doch heute vom Kollegen Abdullah den Tip für dieses Tool der OWASP für Pen-Tests bekommen. Das will ich gleich mal gegen kisser.name ausprobieren. 😉

Mac-Installer runtergeladen (ca.132 MB) und dann das App-Icon in Applications. Fertig. So einfach kann Softwareinstallation auf dem Mac sein.

Und fängt ja mal mega ungeil an. Kein Developer Certificate, was sind das denn für Anfänger? Oder doch Maleware? Also Gatekeep auschalten überlisten. Das DMG und die App wurden mit ClamXav gescanned (ja, ich weiß, dass das auch kein 100% Schutz ist). Little Snitch merkte an, dass OWASP ZAP sich zu bit.ly und raw.githubservercontent.com verbinden wollte. Bis zum Beenden der App habe ich erlaubt. Sie muss sich erst beweisen.
Die App sieht genauso aus, wie es diese häßlichen Java-Apps auf dem Mac so vormachen. Hatte in das Paketbundle geschaut (339 Dateien, so ClamXav, und viele davon Javadateien (JARs)).
Ja, sieht ganz brauchbar aus das Programm, wenn gleich die Oberfläche etwas pekig ist, aber es kommt ja auf den Inhalt an. Allerdings muss sich die App durchaus erarbeitet werden.

Das Resultat ist dann auch ganz ok. Allerdings ist die Site auch nur mikrogroß:

Ich hatte ja schon schlimmeres für das Blog erwartet, aber der Report ist echt schon brauchbar: