zap - Zed 工具和精度
问题描述
我将 Zap 工具设置为代理,并捕获了站点的浏览器跟踪(Urls)。我运行了该工具,并生成了一份报告。在报告中,我在报告标记的给定页面上选择了几个输入元素,但我无法成功反映该值,因此 Xss。我知道误报等,但我很困惑,因为我认为该工具能够准确地找到 Xss 问题。如果渗透测试人员发现了真正的 Xss 问题,那么为什么这个工具不能做同样的事情,或者他们是怎么做的呢?我在这里错过了什么吗?
解决方案
任何工具都没有误报,无论他们的营销可能怎么说;) 工具必须平衡误报与误报以及它们提出的请求数量,以及它们所花费的时间。使用 100% 准确但需要数月时间扫描站点的工具对任何人都没有用。如果没有更多细节,我们不可能知道这些问题是否是误报。熟练的手动渗透测试者总是比任何一种工具都好,但他们并不便宜。ZAP 等自动化工具可以在开发生命周期的早期发现潜在问题。但是如果你有一个高价值的网站,除了使用自动化工具之外,你真的应该为手动 pentinsting 付费。
推荐阅读
- powershell - 测试注册表路径后如何从powershell中的预定义数组更改寄存器值?
- ios - 使用 Segue,如何控制不同视图控制器中视图的可见性?
- datetime - Delphi 从 TDateEdit 组件计算人的年龄
- .net-core - 如何正确使用 .Net Core SignalR 的依赖注入
- python-3.x - 保存经过训练的模型后缺少 pbtxt
- visual-studio - '无法加载文件或程序集'FSharp.Core,版本= 4.6.2.0
- javascript - 有没有办法“堆叠”弹出窗口而不是标记 - 传单
- r - 如何在没有空行的情况下从 R 中保存 Excel 工作表?
- node.js - 时刻日期格式从 Node 更改为 MongoDB
- r - 在数据框中将不同格式的字符串更改为相同格式的日期