security - OWASP ZAP 警报详细信息中许多警报的具有空白值的风险字段
问题描述
有人可以建议为什么OWASP ZAP警报详细信息中的许多警报的风险数据为空白,可在以下 ZAP 官方网站上找到:
https://www.zaproxy.org/docs/alerts/
例如 -
Id Alert Risk
10011 Cookie Without Secure Flag Low
10009 In Page Banner Information Leak
10015 Incomplete or No Cache-control and Pragma HTTP Header Set
10017 Cross-Domain JavaScript Source File Inclusion
10019 Content-Type Header Missing
10020 X-Frame-Options Header
10020-1 X-Frame-Options Header Not Set Medium
在这种情况下,应如何定义风险或严重性。是否应该基于风险是否适用于特定的 Web 应用程序。
此外,对于某些警报,在 ZAP 报告中,风险填充为例如Low(Medium)。它应该被认为是低还是中。
解决方案
该文档仍在进行中。一些扫描规则会引发多个警报(风险不同)。主动和被动扫描规则具有不同的默认方法/值。该团队正在努力解决扫描规则中的这两种情况,并通过关联警报描述文档。
这Low(Medium)是风险(信心)。(不是风险和风险。)
推荐阅读
- sql - MSSQL Group by 和 Select rows from grouping
- python - 有没有办法随机化在 python 中打印列表的哪个索引?
- vba - 有没有办法在 PowerPoint 中导入多页 PDF?
- kubernetes - 相当于 helm 中的 `kubectl delete pods --all -n namespace`
- python - 数据分析:TypeError: 'module' object is not callable
- asp.net-core - 无法显示类型为类的属性的描述
- c - 从“项目根目录”运行脚本的正确方法是什么?
- sorting - 我在 kbmmemtable 中的排序顺序有问题
- spring - 春季批处理:编写器异常并完成回滚,但未执行重试
- java - 是否可以让一个线程只获得一个信号量的许可证,直到下一个版本?