Je suis nouveau dans les tests de sécurité et je suis confus au sujet de deux outils de proxy Web, à savoir Burp et OWASP ZAP .
Les deux semblent remplir la même tâche, alors quelles sont exactement les différences entre eux?
Il est vrai que les deux outils sont dans le même espace. Burp est un outil commercial à source fermée (qui peut être étendu) développé par une société commerciale tandis que ZAP est un outil gratuit à source ouverte développé par la communauté.
Les deux ont des forces et des faiblesses relatives, mais en tant que responsable du projet ZAP, je laisserai les autres les énumérer car je suis un peu biaisé.
Avoir 2 outils avec des fonctionnalités qui se chevauchent est (à mon avis) une bonne chose, et de nombreux responsables de la sécurité enchaînent ZAP et Burp pour obtenir les avantages des deux.
Je pense que cela pourrait être en grande partie une question de préférence d'interface utilisateur, car je n'ai pas trouvé quelque chose que j'ai fait dans BurpCE que je ne peux vraiment pas faire dans ZAP, et je dirais que ZAP est plus intuitif. De plus, les onglets de Burp sont super ennuyeux et peuvent devenir ingérables lorsque vous commencez à en avoir une tonne. Il y a certainement des correctifs approximatifs dans ZAP où faire quelque chose semble possible, mais c'est juste plus facile dans Burp. Je me retrouve plus dans ZAP que BurpCE après m'être vraiment habitué à ZAP.
Cela étant dit, il semble que l'ensemble de fonctionnalités payantes de Burp soit beaucoup plus un "Web Application Scanner", que les développeurs peuvent laisser tourner quelque part et le laisser scanner et signaler des choses, par opposition à ZAP, qui est un outil de test vuln pour les applications web. qui doit être activement utilisé par l'utilisateur final.