Ложный положительный результат OWASP ZAP для X-Frame-Options и несуществующего html-файла

Question

Ложный положительный результат OWASP ZAP для X-Frame-Options и несуществующего html-файла

Я использую OWASP ZAP для проверки моего приложения на наличие уязвимостей.

Я использую Атаку быстрого старта с URL моей страницы входа.

Я запускаю приложение на Tomcat из Eclipse.

В настоящее время есть 2 проблемы:

ZAP находит HTML-страницу, которую я удалил. Он не существует нигде в моем проекте, и все же ZAP генерирует предупреждение об этом. Он существовал во время первого запуска.
ZAP генерирует предупреждение о заголовке X-Frame-Content, хотя этот заголовок существует и его можно увидеть в инструментах Firefox F12. Я даже написал простой симулятор, который пытается IFrame страницу входа в мое приложение, и браузер блокирует ее.

Я предполагаю, что у ZAP есть какой-то кеш, и я сделал Exit и Delete Session, но это ничего не изменило.

Любой совет будет оценен.

Кирилл.

1

owasp zap x-frame-options

Источник

user1336916 02 ноя '17 в 16:06

3 ответа

Другие вопросы по тегам owasp zap x-frame-options

user1509834 02 ноя '17 в 16:37 2017-11-02 16:37 · Answer 1 · 2017-11-02 16:37

ZAP хранит все в сеансе, поэтому, если вы начинаете с нового сеанса, тогда ZAP не должен использовать что-либо из старого.

Повторяются ли эти проблемы, например, с новым сеансом ZAP? Если это так, нажмите на предупреждения, а затем посмотрите на вкладку "Ответ". Возможно, ваше приложение возвращает ответы, которые вы не ожидаете.

user7718222 15 ноя '17 в 00:56 2017-11-15 00:56 · Answer 2 · 2017-11-15 00:56

Это было описано в ветке группы пользователей: https://groups.google.com/forum/m/?pli=1

URL, щелкнувший в дереве предупреждений и отображенный на панели предупреждений, является URL-адресом, к которому относится предупреждение. Который не обязательно является URL-адресом, введенным на вкладке быстрого запуска. Ответ, к которому относится предупреждение, можно увидеть, выбрав его и перейдя на вкладку ответа (за вкладкой быстрого запуска).

После того, как пользователь правильно определил, какие URL / ресурсы были затронуты, они "... добавили создание заголовков безопасности в конфигурации Tomcat, и теперь нет предупреждений".

user1336916 06 ноя '17 в 18:45 2017-11-06 18:45 · Answer 3 · 2017-11-06 18:45

ZAP генерирует оповещения для всех ответов сервера 200 и 404. Поэтому на удаленной странице я увидел оповещение - оно не было найдено. Это также послужило причиной оповещений о всех ресурсах - они были найдены. Я настроил свой Tomcat на создание заголовков безопасности, и после этого ZAP не генерирует никаких предупреждений.