我正在使用 OWASP ZAP 来测试我的应用程序是否存在漏洞。
我正在使用登录页面的 URL 进行快速启动攻击。
我正在从 Eclipse 的 Tomcat 上运行该应用程序。
目前有2个问题:
ZAP 找到一个我删除的 html 页面。它在我的项目中不存在,但 ZAP 会对其生成警报。它在第一次运行时确实存在。
ZAP 会生成有关 X-Frame-Content 标头的警报,尽管该标头存在并且可以在 Firefox F12 工具中看到。我什至编写了一个简单的模拟器,尝试使用 IFrame 我的应用程序登录页面,但浏览器阻止了它。
我猜测 ZAP 有某种缓存,我执行了退出并删除会话,但它没有改变任何东西。
如有任何建议,我们将不胜感激。
基里尔。
ZAP 将所有内容存储在会话中,因此如果您从新会话开始,那么 ZAP 不应使用旧会话中的任何内容。
这些问题是否可重复,例如使用新的 ZAP 会话? 如果是这样,请单击警报,然后查看“响应”选项卡 - 可能是您的应用程序返回了您不期望的响应。
ZAP 为所有服务器响应 200 和 404 生成警报。这就是为什么我在删除的页面上看到警报 - 没有找到它。这也是对所有资源发出警报的原因——它们被发现了。 我将 Tomcat 配置为生成安全标头,之后 ZAP 不会生成任何警报。
用户组主题中对此进行了介绍:https://groups.google.com/forum/m/?pli=1#!topic/zaproxy-users/e764_WPWCRc
在警报树中单击并显示在警报面板中的 URL 是警报适用的 URL。这不一定是在快速启动选项卡中输入的 URL。 通过选择警报,然后转到“响应”选项卡(位于“快速启动”选项卡后面),可以看到警报所属的响应。
用户正确识别出哪些 url/资源受到影响后,他们“...在 Tomcat 配置中添加了安全标头生成,现在没有警报了。”