我正在使用OWASP ZAP来测试我的应用程序的漏洞。
我正在使用快速入门攻击与我的登录页面的 URL。
我正在从Eclipse在Tomcat上运行该应用程序。
目前有2个问题:
-
ZAP 找到我删除的 html 页面。它不存在于我的项目中的任何地方,但 ZAP 会在其上生成警报。它在首次运行时确实存在。
-
ZAP 会生成有关 X-Frame-Content 标头的警报,尽管此标头存在并且可以在 Firefox F12 Tools 中看到。我甚至编写了一个简单的模拟器,试图对我的应用程序登录页面进行IFrame,但浏览器阻止了它。
我猜 ZAP 有某种缓存,我做了退出和删除会话,但它没有改变任何东西。
任何建议将不胜感激。
基里尔。
ZAP 将所有内容存储在会话中,因此,如果您从新会话开始,则 ZAP 不应使用旧会话中的任何内容。
这些问题是否可重复,例如新的 ZAP 会话?如果是这样,请单击警报,然后查看"响应"选项卡 - 可能是您的应用程序返回了您不希望的响应。
ZAP 为所有服务器响应 200 和 404 生成警报。这就是为什么我在已删除的页面上看到警报的原因 - 没有找到。这也是对所有资源发出警报的原因 - 它们被发现了。我将我的 Tomcat 配置为生成安全标头,之后 ZAP 不会生成任何警报。
用户组线程中有所介绍:https://groups.google.com/forum/m/?pli=1#!topic/zaproxy-users/e764_WPWCRc
在警报树中单击并显示在警报面板中的 URL 是警报适用的 URL。这不一定是在快速入门选项卡中输入的 URL。通过选择警报,然后转到响应选项卡(在快速启动选项卡后面),可以查看与警报相关的响应。
一旦用户正确识别了受影响的网址/资源,他们"......在 Tomcat 配置中添加了安全标头生成,现在没有警报。