Можем ли мы выделить предупреждение о том, что XSS-защита веб-браузера не включена, и перезапустить его в ZAP Proxy?

Контекст:

Мы использовали прокси-сервер OWASP Zed Attack Proxy версии 2.7.0 для тестирования уязвимостей приложения. У нас есть несколько предупреждений, и мы работаем над их решением.

Проблема :

Мы хотели выделить предупреждение "Защита веб-браузера от XSS не включена" и запустить проверку.

Решения, которые мы пробуем:

Одна из возможностей, которые мы изучаем, - это режим работы. Теперь мы можем выполнять один из режимов работы, например Стандартный, Атака и т. Д. Есть ли способ настроить режим работы и запустить одиночное оповещение?


java security zap security-testing
person arunvg    schedule 01.02.2018    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Да, вам просто нужно включить конкретное правило сканирования и отключить все остальные. Самый простой способ сделать это - настроить политику сканирования в пользовательском интерфейсе рабочего стола, а затем экспортировать ее. Затем вы можете использовать его для автоматического сканирования.

В этом случае предупреждение является пассивным. Вы проверили базовое сканирование? https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan

Мы используем это в Mozilla для проверки работоспособности сотен сайтов каждый день. Вы можете легко сгенерировать файл конфигурации, а затем изменить его с помощью текстового редактора, чтобы он сообщал только о тех проблемах, которые вас интересуют.

person Simon Bennetts    schedule 01.02.2018
comment
Спасибо, Саймон, это помогло нам встать на правильный путь. - person arunvg; 02.02.2018