0

我正在运行 OWASP ZAP 作为自动化 CI/CD 流程的一部分。我正在做蜘蛛和主动扫描。报告显示存在路径遍历错误。

首先,这是一个 Angular 2 站点,因此服务器上不会显示任何内容。其次,当我查看有问题的 URL 和没有“攻击”时,结果是一样的。此 URL 只是将 JavaScript 文件下载到浏览器,查询字符串被忽略。我们正在使用 webpack 进行捆绑。

https://mysite/js/vendor.ece5bf651436a14bea3e.bundle.js?query=c%3A%2F

如果是误报,我们如何标记它,以便后续运行不会继续将其标记为问题?我们正在为这个自动化过程使用每周的 docker 镜像。

4

1 回答 1

1

您可以将 ZAP 配置为使用Context Alert Filters自动将它们标记为误报。

但是,如果您还提出ZAP 问题并提供尽可能多的信息,那将非常有用,这样我们就可以希望修复代码,使其不再被报告。

于 2017-07-07T08:54:16.103 回答