0
掃描並生成zap報告後,它報告 在sord,sidx,_search和nd上反映的xss。 但我想我不需要對它進行消毒。或者我必須? 我正在做服務器端的衛生部分。Zap報告反映在sord,sidx,nd
我可以問一下開明的原因是什麼? 任何幫助,不勝感激。
A
回答
0
ZAP通過在所有字段中注入'安全'值來檢測XSS,然後發送特製攻擊,試圖擺脫安全值反映的上下文,以便執行JavaScript攻擊。 它會考慮服務器端的衛生,但誤報總是可能的。
ZAP將報告它用於確定存在XSS漏洞的「證據」。你可以發佈,以及周圍的HTML?
如果你確定他們是誤報,那麼請通過ZAP問題報告他們:https://github.com/zaproxy/zaproxy/issues
乾杯,西蒙(ZAP項目負責人)
相關問題
- 1. 如何在jqGrid中更改sidx,sord,過濾器參數名稱
- 2. jqGrid,數據類型:函數()和訪問sord,sidx等
- 3. zap docker是否生成.xml報告?
- 4. golang反映sql掃描報告錯誤
- 5. 如何檢查ZAP報告/警報是否在掃描後生成?
- 6. jqGrid prmNames sidx
- 7. 反向工程報告
- 8. 檢索在PHP反彈通知/報告
- 9. 如何以任何格式在owasp zap中生成完整報告
- 10. ZAP報告存在路徑穿越漏洞。它是如何找到它的?
- 11. OWASP ZAP Fuzzing-輸入參數作爲字符串反映回來,還是XSS?
- 12. Qt併發映射和進度報告
- 13. 反向鏈接報告網站爬蟲?
- 14. Informix 4GL報告到屏幕 - 反向
- 15. 反彈:重新打開缺陷報告
- 16. 報告觀衆報告服務在VS 2008報告控制
- 17. XmlSerializer(c#)報告反映類型時出現錯誤(類型=列表<myclass>)
- 18. SSRS報告:報告在哪裏處理?
- 19. 「無法預覽報告」在SSRS報告
- 20. Rownumber()在報告中未報告?
- 21. 在RDLC報告
- 22. PHP:在報告
- 23. SSRS在報告
- 24. 在SSRS報告
- 25. 的報告「」報告定義
- 26. crystal報告子報告
- 27. 報告,子報告pentaho
- 28. Telerik報告子報告
- 29. 顯示子報告報告
- 30. 轉換宇宙/報告BO到多維數據集/報告MS BI或相反