OWASP被视为web应用安全领域的权威参考。2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。

OWASP 颁布并且定期维护更新的web安全漏洞TOP 10，也成为了web安全性领域的权威指导标准，同时也是IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。

ZAP

OWASP ZAP，全称：OWASP Zed Attack Proxy攻击代理服务器是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中，自动发现 Web应用程序中的安全漏洞。另外，它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。

ZAP的工作原理

在安全性测试领域，安全性测试主要可以由以下几种测试策略来覆盖：

漏洞分析　　-　　对系统进行扫描来发现其安全性隐患
渗透测试　　-　　对系统进行模拟攻击和分析来确定其安全性漏洞
运行时测试　　-　　终端用户对系统进行分析和安全性测试（手工安全性测试分析）
代码审计　　-　　通过代码审计分析评估安全性风险（静态测试，评审）
ZAP主要是用于应用上述的第二种测试，即渗透性测试。

ZAP以架设代理的形式来实现渗透性测试，类似于fiddler抓包机制。他将自己置于用户浏览器和服务器中间，充当一个中间人的角色，浏览器所有与服务器的交互都要经过ZAP，这样ZAP就可以获得所有这些交互的信息，并且可以对他们进行分析、扫描，甚至是改包再发送。

ZAP下载

现在的稳定版本是2.7.0版，推荐下载windows64位安装包来初试安全性扫描机制。

ZAP安装