我们在Salesforce中开发了一个应用程序,它使用DocuSign Web服务API(https://demo.docusign.net/api/3.0/dsapi.asmx进行开发,https://www.docusign.net/api/3.0/dsapi.asmx进行生产)。我们在两个API上进行安全扫描时发现了一些漏洞。我们使用ZAP工具进行安全扫描,并揭示了以下漏洞:
可以在网络服务上修复这些问题,还是有证据证明这些是误报的文件?
由于
答案 0 :(得分:1)
与所有自动扫描仪一样,Zap非常擅长发现常见的疏忽,并将应用程序与最佳实践进行比较。不幸的是,他们经常无法考虑手头的更大情况。为正确的场景设置正确的x-header是对客户端 - 服务器Web流中的点击控件和XSS等常见攻击的重要保护,因为它们有助于通知用户的浏览器应该允许哪些操作。但是,这些攻击在服务器到服务器API流程中并不相关,因此这些应被视为误报。感谢您引起我们的注意,然而,DocuSign不断投资于我们平台的安全性,我们非常感谢您的审查。