ZAP似乎错误地报告了Angular应用程序中的路径遍历漏洞

时间:2017-07-05 16:44:07

标签: angular security owasp zap path-traversal

我正在运行OWASP ZAP作为自动CI / CD过程的一部分。我正在做蜘蛛和主动扫描。该报告显示存在Path Traversal错误。

首先,这是一个Angular 2站点,因此服务器上不会显示任何内容。其次,当我使用和不使用“攻击”查看有问题的URL时,结果是相同的。此URL只是将JavaScript文件下载到浏览器,并忽略查询字符串。我们正在使用webpack进行捆绑。

https://mysite/js/vendor.ece5bf651436a14bea3e.bundle.js?query=c%3A%2F

如果是误报,我们如何标记这一点,以便后续运行不会继续将此标记为问题?我们使用每周泊坞窗图像进行此自动化过程。

1 个答案:

答案 0 :(得分:1)

您可以将ZAP配置为使用Context Alert Filters自动将其标记为误报。

然而,如果您还提出ZAP issue提供尽可能多的信息,那将非常有用,这样我们就可以有希望修复代码,以便不再报告。