OWASP ZAP получил PTK-дополнение для Firefox

Команда OWASP ZAP выпустила дополнение OWASP PTK, которое автоматически добавляет расширение Penetration Testing Kit в браузеры, запущенные из ZAP. Речь идёт о Firefox, Chrome и Edge. Это должно упростить проверку веб-приложений в реальном пользовательском сеансе — с авторизацией, переходами по интерфейсу и клиентской логикой.

PTK — это набор инструментов для тестирования на проникновение. По описанию OWASP ZAP, дополнение связывает ZAP с браузерным расширением: ZAP остаётся центральной точкой для перехвата трафика, истории запросов, пассивного анализа и работы с контекстом, а PTK добавляет инструменты проверки прямо внутри браузера.

Главная идея интеграции в том, что источником правды становится именно браузерный сеанс. Это особенно важно для современных веб-приложений, где многое зависит от JavaScript, маршрутизации внутри одностраничных интерфейсов, токенов, куки и поведения пользователя после входа в систему. Такой подход лучше подходит для проверки реальных пользовательских сценариев, чем попытка анализировать приложение в отрыве от браузера.

В документации ZAP перечислены основные возможности PTK. Среди них есть DAST — динамический анализ безопасности во время работы приложения, IAST — интерактивный анализ с наблюдением за выполнением кода в рантайме, SAST — статический анализ сценариев и подключённых скриптов, а также SCA — поиск устаревших или уязвимых пакетов. Кроме того, в комплект входят конструктор запросов, инспектор JWT-токенов, редактор cookie, обзор технологического стека и средства автоматизации.

По данным страницы дополнения на сайте Mozilla, расширение OWASP Penetration Testing Kit уже опубликовано для Firefox. В карточке указано, что оно предназначено для специалистов по безопасности приложений, пентестеров и red team-команд. На момент индексации у расширения было более 800 пользователей и несколько отзывов с высокой оценкой. 

ZAP называет текущий выпуск первым шагом в более глубокой интеграции с PTK. В февральском обзоре проекта команда написала, что в 2026 году планирует и дальше усиливать работу ZAP с браузерными инструментами и улучшать исследование современных JavaScript-приложений.