Security: Webanwendungen mit Zed Attack Proxy zur Laufzeit prüfen

Um Sicherheitslücken in Webanwendungen zu finden, eignen sich Tools für Dynamic Application Security Testing, die Anwendungen zur Laufzeit prüfen.

Artikel verschenken

07:00 Uhr

Lesezeit: 17 Min.

iX Magazin

Von

Florian Schönwälder

Security: Webanwendungen mit Zed Attack Proxy zur Laufzeit prüfen
- DAST: Schwachstellen zur Laufzeit erkennen
Einblick in den Funktionsumfang
Installation leicht gemacht
Sicherheitstests mit ZAP und dem OWASP Juice Shop
Kein vollständiger Ersatz für manuelle Penetrationstests
Fazit

Artikel in iX 3/2026 lesen

Sicherheitslücken in Webanwendungen können nicht nur einen finanziellen Schaden verursachen, sondern auch das Vertrauen der Nutzer in die Anwendungen untergraben. Es ist daher unerlässlich, Sicherheitsrisiken frühzeitig zu erkennen und sie bereits im Entwicklungsprozess zu berücksichtigen und zu beheben.

Ein bewährtes Werkzeug, Anwendungen mit den Augen eines Angreifers zu untersuchen, ist ZAP (Zed Attack Proxy) von Checkmarx – ein Open-Source-Tool für Dynamic Application Security Testing (DAST. Es eignet sich für manuelle Sicherheitsüberprüfungen und ist auch in CI/CD-Pipelines integrierbar.

Tools für Dynamic Application Security Testing (DAST) liefern Informationen über das Verhalten von Anwendungen.
Als Manipulator-in-the-Middle-Proxy analysiert ZAP den Datenverkehr, um mögliche Sicherheitslücken zu erkennen.
ZAP testet Anwendungen aktiv und passiv: Es simuliert Angriffe und überwacht den Datenverkehr.
Integration in CI/CD-Pipelines ermöglicht frühzeitige und automatisierte Überprüfungen.

ZAP war ursprünglich ein OWASP-Projekt, wird aber seit Herbst 2024 als „ZAP by Checkmarx“ weiterentwickelt, nachdem das Securityunternehmen die Hauptentwickler übernommen hat und ZAP weiterhin als Communityprojekt vorantreibt. Es ist in Java geschrieben und startete als Fork des Paros-Proxy. Heute ist es eines der am häufigsten verwendeten DAST-Tools.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Solaranlagen im Winter: Warum Kälte gut und Schnee oft kein Problem ist

Mehr als ein netter Bonus? Wie viele Kilowattstunden eine PV-Anlage im Winter realistisch erzeugt und mit welchen Maßnahmen man diesen Ertrag steigern könnte.

Luftbefeuchter im Test: Angenehmes Wohnklima auf Knopfdruck

In den Wintermonaten ist die Luft in vielen Wohnungen viel zu trocken. Luftbefeuchter helfen gegen Heizungsluft, doch es gibt ein paar Dinge zu beachten.

Smart Meter: Warum die Probleme oft erst nach der Installation beginnen

Der Smart-Meter-Rollout lahmt, aber es gibt weitere Probleme: Häufig registrieren Netzbetreiber die Geräte nicht korrekt. Ausbaden müssen es die Kunden.

FAQ: BitLocker-Verschlüsselung und Alternativen dazu

Bei der in Windows eingebauten SSD-Verschlüsselung BitLocker kann der Wiederherstellungsschlüssel bei Microsoft landen. Wir erklären Details und Alternativen.

E-Autos für jeden Bedarf: Modelle für schwere Anhänger, Langstrecke und mehr

Auch für ungewöhnliche Anforderungen gibt es häufig passende Elektroautos – ob sieben Sitze, schwere Anhänger oder schnelles Laden. Wir zeigen passende Modelle.

Lautstark lokalisiert: AirTag 2 im Test

Nach knapp 5 Jahren erhalten Apples Bluetooth-Tracker ein Update. Die zweite Generation tönt lauter, bringt Änderungen bei den Funkverbindungen. Was taugt sie?

Beliebte Bestenlisten

Alle bestenlisten

Top 10: Die beste Powerbank ab 20.000 mAh im Test

Top 10: Die beste Android-Box fürs Auto im Test

Top 10: Der beste höhenverstellbare Schreibtisch

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}