我正在使用OWASP ZAP来测试我的应用程序是否存在漏洞。
我使用快速启动攻击和我的登录页面的URL。
我正在从Eclipse运行Tomcat上的应用程序。
目前有两个问题:
ZAP找到我删除的html页面。它在我的项目中的任何地方都不存在,但ZAP会在其上生成警报。它确实存在于首次运行时。
ZAP会生成有关X-Frame-Content标头的警报,尽管此标头存在且可以在Firefox F12工具中看到。我甚至写了一个简单的模拟器,尝试IFrame我的应用程序登录页面,浏览器阻止它。
我猜ZAP有某种缓存,我做了退出和删除会话,但它没有改变任何东西。
任何建议都将受到赞赏。
基里尔。
答案 0 :(得分:0)
ZAP将所有内容存储在会话中,因此如果您从新会话开始,那么ZAP不应该使用旧会话中的任何内容。
这些问题是否可重复,例如使用新的ZAP会话? 如果是这样,请单击警报,然后查看“响应”选项卡 - 可能是您的应用程序返回了您不期望的响应。
答案 1 :(得分:0)
ZAP为所有服务器响应200和404生成警报。这就是我在删除的页面上看到警报的原因 - 未找到。这也是所有资源发出警报的原因 - 他们被发现了。 我将Tomcat配置为生成安全标头,之后ZAP不会生成任何警报。
答案 2 :(得分:0)
这已在用户组主题中涵盖:https://groups.google.com/forum/m/?pli=1#!topic/zaproxy-users/e764_WPWCRc
在警报树中单击并显示在警报面板中的URL是警报适用的URL。这不一定是在快速启动选项卡中输入的URL。 通过选择警报然后转到响应选项卡(快速启动选项卡后面),可以看到与警报相关的响应。
一旦用户正确识别出受影响的网址/资源,他们就“添加了Tomcat配置中的安全标头生成,现在没有警报。”