OWASP ZAP 警报详细信息中许多警报的具有空白值的风险字段

【问题标题】:Risk field with blank value for many alerts in OWASP ZAP alert detailsOWASP ZAP 警报详细信息中许多警报的具有空白值的风险字段
【发布时间】:2021-03-10 10:44:19
【问题描述】:

有人可以建议为什么 OWASP 中许多警报的 风险 数据是 空白 ZAP 警报详细信息可在以下 ZAP 官方网站上找到:

https://www.zaproxy.org/docs/alerts/

例如-

Id      Alert                                                               Risk

10011   Cookie Without Secure Flag                                          Low
10009   In Page Banner Information Leak
10015   Incomplete or No Cache-control and Pragma HTTP Header Set
10017   Cross-Domain JavaScript Source File Inclusion
10019   Content-Type Header Missing
10020   X-Frame-Options Header
10020-1 X-Frame-Options Header Not Set                                      Medium

在这种情况下,应如何定义风险或严重性。是否应该基于风险是否适用于特定的 Web 应用程序。

此外,对于某些警报,在 ZAP 报告中,Risk 填充为例如 Low(Medium)。它应该被认为是低还是中。

【问题讨论】:

    标签: security owasp zap websecurity


    【解决方案1】:

    该文档仍在进行中。一些扫描规则会引发多个警报(风险不同)。主动和被动扫描规则具有不同的默认方法/值。该团队正在努力解决扫描规则中的这两种情况,并通过关联警报描述文档来解决。

    Low(Medium) 是风险(信心)。 (不是风险和风险。)

    【讨论】:

      猜你喜欢
      • 2022-12-20
      • 2020-06-07
      • 2021-03-04
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-05-07
      • 2017-04-26
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode