从zap扫描并生成报告后,它报告了
sord,sidx,_search和nd上反映的xss。
但我认为我不必对它进行消毒。或者我必须这样做?
我在服务器端做卫生部分。
我可以请求启示报告的原因是什么? 任何帮助是极大的赞赏。
答案 0 :(得分:0)
ZAP通过向所有字段中注入“安全”值来检测XSS,然后发送特制的攻击,这些攻击试图突破安全值所反映的上下文,以便可以执行javascript攻击。 它将考虑到服务器端的卫生设施,但误报总是可能的。
ZAP将报告其用于确定存在XSS漏洞的“证据”。您可以发布该内容以及周围的HTML吗?
如果您确定它们是误报,请通过ZAP问题报告:https://github.com/zaproxy/zaproxy/issues
干杯,西蒙(ZAP项目负责人)