Я использую OWASP ZAP как часть автоматизированного процесса CI / CD. Я делаю пауку и активное сканирование. Отчет показал, что есть ошибка обхода пути.
Во-первых, это сайт Angular 2, поэтому на сервере ничего не будет обнаружено. Во-вторых, когда я просматриваю рассматриваемый URL с «атакой» и без нее, результаты одинаковы. Этот URL просто загружает файл JavaScript в браузер, а строка запроса игнорируется. Мы используем webpack для сборки.
https://mysite/js/vendor.ece5bf651436a14bea3e.bundle.js?query=c%3A%2F
Если это ложное срабатывание, как мы можем отметить это, чтобы при последующих запусках не отмечалось, что это проблема? Мы используем еженедельный образ докера для этого автоматизированного процесса.
