OWASP Zed Attack Proxy (ZAP)

El programa Bug Bounty de la plataforma OWASP ZAP se ha integrado con BugCrowd. Como resultado, todas las presentaciones de OWASP ZAP deben realizarse para su revisión a través del portal Bugcrowd.

OWASP Zed Attack Proxy (ZAP) es una de las herramientas de seguridad gratuitas más populares del mundo y es mantenida activamente por cientos de voluntarios en todo el mundo.

Se utiliza para encontrar vulnerabilidades de seguridad de forma automática en las aplicaciones web y como herramienta para pentesters experimentados que realizan pruebas de seguridad manuales.

OWASP apoya el esfuerzo de numerosos voluntarios para producir herramientas de seguridad usadas por multitud de empresas y desarrolladores para proteger sus aplicaciones. Este programa de recompensas ejecutado por OWASP tiene como objetivo garantizar que estas herramientas no se utilicen como vectores para atacar a cualquiera que las use.


Dentro del alcance del Programa

Target

Tipo

Latest ZAP version (2.9.0)

Otro

https://www.zaproxy.org

Website

Objetivos

Cualquier problema de diseño o implementación que sea reproducible y afecte sustancialmente a la seguridad de los usuarios de ZAP estará en el ámbito del programa, pero en particular:

  • Ejecución de código remoto: $1,000
  • Acciones de API no autorizadas.

*) Excluyendo los scripts que el usuario ha elegido instalar o ejecutar así como la API Key deshabilitada o cualquiera de las otras opciones de API de 'test' marcadas como 'inseguras'.

Las siguientes aplicaciones están en el ámbito de este programa:

  • La última versión de OWASP ZAP (actualmente 2.9.0) que se ejecuta en cualquiera de sus configuraciones soportadas (línea de comandos, escritorio, demonio y Heads Up Display)
  • El sitio web de OWASP ZAP: https://www.zaproxy.org


No califican para recompensa:

  • Ataques que requieren acceso físico a la máquina de un usuario.
  • Ataques que requieren que el usuario instale un script o complemento malicioso, a menos que se haga a través del repositorio ZAP Marketplace o Community Scripts.
  • Ataques que requieren que el usuario deshabilite cualquiera de los controles marcados en la página API Options como "only for use in testing".
  • Las vulnerabilidades encontradas en un sistema operativo que está al final de su vida útil quedan fuera del alcance.