ZAP, похоже, неправильно сообщает об уязвимости обхода пути в приложении Angular

Question

ZAP, похоже, неправильно сообщает об уязвимости обхода пути в приложении Angular

Я использую OWASP ZAP как часть автоматизированного процесса CI/CD. Я делаю паук и активное сканирование. Отчет показал, что существует ошибка обхода пути.

Во-первых, это сайт Angular 2, поэтому на сервере ничего не будет обнаружено. Во-вторых, когда я рассматриваю URL-адрес с "атакой" и без нее, результаты совпадают. Этот URL просто загружает файл JavaScript в браузер, а строка запроса игнорируется. Мы используем веб-пакет для упаковки.

https://mysite/js/vendor.ece5bf651436a14bea3e.bundle.js?query=c%3A%2F

Если это ложное срабатывание, как мы можем пометить это, чтобы последующие прогоны не продолжали помечать это как проблему? Мы используем еженедельный образ докера для этого автоматизированного процесса.

0

angular security owasp zap path-traversal

Источник

user930602 05 июл '17 в 16:44

1 ответ

Решение

Другие вопросы по тегам angular security owasp zap path-traversal

user1509834 07 июл '17 в 08:54 2017-07-07 08:54 · Accepted Answer · 2017-07-07 08:54

Вы можете настроить ZAP на автоматическую пометку их как ложных срабатываний, используя фильтры оповещений о контексте.

Однако было бы очень полезно, если бы вы также подняли вопрос о ZAP, предоставляя как можно больше информации, и мы надеемся, что мы сможем исправить код так, чтобы о нем больше не сообщалось.