从 zap 扫描并生成报告后,它在 、 和 上报告了sord反射sidx的_searchxss nd。但我认为我不必对其进行消毒。还是我必须这样做?我在服务器端做我的卫生部分。
请问举报的原因是什么?任何帮助是极大的赞赏。
问问题
35 次
1 回答
0
ZAP 通过将“安全”值注入所有字段来检测 XSS,然后发送特制的攻击,试图打破反映安全值的上下文,以便执行 javascript 攻击。它将考虑到服务器端的卫生,但总是有可能出现误报。
ZAP 将报告它用来确定存在 XSS 漏洞的“证据”。你能把它和周围的 HTML 一起发布吗?
如果您确定它们是误报,请通过 ZAP 问题报告它们:https ://github.com/zaproxy/zaproxy/issues
干杯,西蒙(ZAP 项目负责人)
于 2015-06-23T13:57:00.790 回答