OWASP ZAP MCP Server

OWASP ZAP MCP Server

pierre3MIT
3 звёзд
OWASP ZAP — ведущий инструмент с открытым кодом для поиска уязвимостей в веб-приложениях. MCP-сервер подключает к нему AI-агентов: Claude, GitHub Copilot и других. Вместо того чтобы вручную настраивать прокси, запускать сканирование через веб-интерфейс или писать скрипты к REST API, вы формулируете задачу на естественном языке. Агент сам решает, какие инструменты ZAP вызвать. Сервер управляет 45 инструментами: от запуска сканеров (Spider, Ajax Spider, активное сканирование) до генерации отчётов и управления сессиями. Zero-конфиг — не нужно вручную вводить API-ключи или настраивать Docker. Сервер делает это сам при первом запуске. Данные сохраняются между перезапусками благодаря Docker-томам zap-home и zap-data. Настройки, контексты и сессии остаются доступными после остановки контейнера. Для кого: разработчики, которые проверяют код до коммита, DevOps-инженеры для автоматизации в CI/CD, пентестеры для ускорения типовых задач.
Cloud-devopsSecurityDocker
Открыть на GitHubОфициальный сайт

Характеристики

Общее

  • СтатусСообщество
  • Разработчикpierre3
  • ЛицензияMIT

Технологии

  • Языки
    C#
  • Транспорт
    stdio

Описание

Возможности

  • Запускает пассивное и активное сканирование веб-приложений
  • Управляет Spider и Ajax Spider для сбора структуры URL
  • Работает с алертами: получает, фильтрует по риску, меняет статус
  • Управляет контекстами и сессиями ZAP
  • Настраивает аутентификацию: формы, скрипты, HTTP/NTLM
  • Генерирует отчёты в HTML, XML, JSON, Markdown, PDF
  • Управляет Docker Compose: запускает, останавливает контейнер, следит за его состоянием
  • Автоматически настраивает окружение: генерирует API-ключ, распаковывает конфиги
  • Сохраняет данные между запусками через тома zap-home и zap-data
  • Работает с уже запущенным экземпляром ZAP через переменные окружения
  • Импортирует и экспортирует контексты, сессии, политики сканирования

Как подключить

Установите сервер как глобальную утилиту .NET:

dotnet tool install -g dotnet-zap-mcp

Добавьте конфигурацию в ваш MCP-клиент. Пример для Claude Desktop (файл claude_desktop_config.json):

{"mcpServers":{"zap":{"command":"zap-mcp"}}}

Если используете существующий экземпляр ZAP, укажите его данные:

{"mcpServers":{"zap":{"command":"zap-mcp","env":{"ZAP_BASE_URL":"http://localhost:8090","ZAP_API_KEY":"your-api-key"}}}}

Перезапустите клиент. При первом вызове инструмента DockerComposeUp сервер сам поднимет контейнер ZAP.

Примеры запросов

  • «Запусти Spider на сайте example.com и покажи все найденные URL»
  • «Выполни активное сканирование http://localhost:3000, отфильтруй алерты с High-риском и сгенерируй отчёт в HTML»
  • «Создай контекст для приложения с аутентификацией по форме логин/пароль и экспортируй его в папку контекстов»
  • «Сохрани текущую сессию ZAP в том zap-data и покажи список алертов»

Технические детали

  • Язык: C# (.NET 10)
  • Транспорт: Stdio
  • Лицензия: MIT
  • Разработчик: pierre3
  • Клиенты: Claude Desktop, VS Code (GitHub Copilot), любые MCP-клиенты
  • Зависимости: .NET 10 SDK, Docker (Docker Engine или Docker Desktop с docker compose)
  • Категории: Docker, безопасность, DevOps

Поделиться