OWASP ZAP 扫描漏洞误报分析

最新推荐文章于 2024-07-27 09:56:32 发布
最新推荐文章于 2024-07-27 09:56:32 发布
阅读量3.9k 收藏 3
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanghan511/article/details/121909339
版权

问题场景:

一次测试中对某个路由器使用owasp zap安全扫描软件扫描web漏洞,发现该网关设备存在跨站点dom脚本漏洞和shell注入多个漏洞。

问题分析:

因为该路由器设备已经经过多次安全问题修复,这种跨站和注入脚本基本上不可能存在。经过owasp zap日志分析,发现owasp zap向网关模拟发送一个模拟攻击报文,报文格式为http://192.168.x.x/wlrouter/ssid.asp#<script>alert(1)</script>,由于网关没有按照owasp zap预设逻辑返回400 错误应答,导致owasp zap判断有漏洞产生,其日志和报告如下:

 

通过whireshark抓包分析,发现zap发出的报文为不带#后面的攻击报文,即网关设备收到报文为正常报文,继续分析发现,owasp zap通过自带的firefox浏览器引擎发送报文, 该引擎会自动将#后面的攻击关键字删除。

问题原因

owasp zap认为已发送了攻击报文,实际上它调用的浏览器引擎没有发送攻击关键字,因此网关返回正常报文,从而导致owasp zap报告安全漏洞。

tanghan511
关注
【安全测试zap扫描OWASP ZAP安全扫描
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-12 2662
本文主要记录在OWASP ZAP安装及使用过程中的步骤及遇到的问题。OWASP ZAP安全扫描工具使用较为方便,主要可以用于渗透性测试,类似用抓包工具,在浏览器和服务器之间,可以对信息进行分析扫描。linux 包下载下来后是ZAP_2.11.1_Linux.tar.gz,拷贝到linux服务器指定目录下,解压后,进入zap_2.11.1文件夹,可以看到有zap.sh脚本;直接修改zap.sh同级目录中的xml文件夹中的config.xml,将replacer的配置手动写入到config.xml中;具体的内
使用OWASPZAP进行扫描漏洞
2301_77324496的博客
09-26 948
OWASPZAP是我们已经在本书中用于各种任务的工具,在其众多功能中,它包括一个自动漏洞扫描程序。它的使用和报告生成将在本文中介绍OWASPZAP能够执行主动和被动漏洞扫描,被动扫是0WASPZAP在我们浏览发送数据和点击链接时进行的非侵入式测试。主动测试涉及对每个表单变量或请求值使用各种攻击字符串,以便检测服务器是否响应我们可以称之为易受攻击的行为。OWASPZAP 拥有各种技术的测试符串,首先确定我们的目标使用的技术是有用的,以便优化我们的扫描并减少被检测或导致服务中断的可能性。
owasp-zap-reports
02-28
owasp-zap-reports
OWASP ZAP:一款功能强大的开源Web安全扫描工具
最新发布
Coder加油站的专栏
07-27 1880
OWASP ZAP是一个功能强大的Web应用程序安全扫描工具,适用于各种开发、测试和生产环境。通过自动扫描、手动测试、被动扫描和主动扫描等多种功能,ZAP能够帮助用户全面评估Web应用程序的安全性。此外,ZAP还提供了强大的API、插件和扩展功能,可以与CI/CD流水线集成,自动化地进行安全测试
使用 Zap 和 W3af 进行 Web 应用程序漏洞评估
allway2的博客
08-07 1121
因此,它对我的​​目的来说是一个有用的工具,因为它可以用来执行 Web 应用程序的渗透测试和漏洞评估,引入了一个强大且易于使用的工具。对于主动分析,给定网站的初始根 URL,这些工具在内部构建带有链接和节点的图,并向找到的每个节点发送请求。另一方面,主动攻击分析作为测试用例可能非常有用,可用于了解您的网站是否足够强大,至少可以防止 OWASP 突出显示的主要漏洞或工具支持的漏洞。在本次评估中,被动分析是通过向流行且强大的网站发送少量请求来执行的,其唯一目的是检查工具的潜力以及它们可以收集哪些信息。...
ZAP安全扫描漏洞X-Frame-Options Header
weixin_41634235的博客
07-08 507
X-Frame-Options Header Not Set 在jsp界面添加response.addHeader(“X-Frame-Options”,“SAMEORIGIN”); 或者添加拦截器Filter(tomcat or jettty),在web.xml设置过滤条件。 通过设置该响应头避免网站在客户端被劫持。 X-Content-Type-Options Header Missing 和 Cookie No HttpOnly Flag 同上设置响应头 response.addHeader.
ZAP界面和生成的报告 存在 乱码
atgjyygyamd的博客
08-10 1321
ZAP界面和生成的报告 存在 乱码
安全测试:OWSAP ZAP渗透测试工具
weixin_45760314的博客
08-17 259
安全测试:OWSAP ZAP渗透测试工具
渗透测试Web扫描器——OWASP_ZAP
hackzkaq的博客
10-14 4354
配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一 OWASP ZAP 一、简介 OWASP ZAP 攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。 另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。 二、优缺点 1.优点 免费的web application 扫描器 更加集成性,更加完整,功能更加完善,用途更加广泛,平台稳定性也更加好的web扫描器 2.缺点 现阶段ZAP的中
zaproxy.github.io:OWASP ZAP网站
03-29
OWASP ZAP(Zed Attack ...在进行任何扫描之前,应了解ZAP的使用方法和可能产生的误报,以避免对正常服务造成干扰。定期更新ZAP至最新版本也是保持安全性的关键,因为新版本通常包含对已知漏洞的修复和新的安全特性。
【进阶】OWASP ZAP工具使用指南
OWASP ZAP(Zed Attack Proxy)是一款开源、免费的网络安全扫描工具,由 OWASP(开放式 Web 应用程序安全项目)开发。它旨在帮助开发人员和安全研究人员识别和修复 Web 应用程序中的安全漏洞ZAP 提供了一系列功能...
Web安全—Web漏扫工具OWASP ZAP安装与使用
PP_zi的博客
08-27 5462
本文仅用于安全学习使用!切勿非法用途。 一、OWASP ZAP简介 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。 ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过.
Java 静态代码分析工具-OWASP基准测试测评篇
Mason_Redrocket
06-09 618
一背景 源代码静态分析工具(SAST)作为软件安全的重要保障工具,已经在各个领域被广泛使用。随着开源SAST工具的广泛使用,工具种类的增加,使用者很难判断工具的优劣及适不适合企业的应用场景,本文从金融、互联网企业最常用的Java语言代码分析的角度,对静态分析进行一次简要的测评,为大家选择静态分析工具提供依据,此外,本文分析了目前静态代码分析工具存在的技术问题及工具评估的基本准则。 二概述 一般来说,误报和漏报率是SAST最重要的技术评价指标,但由于没有通用意义上的测试集能够全面反应静态分析...
网络安全学习】漏洞扫描:-04- ZAP漏洞扫描工具
Zane的博客
06-21 2338
漏洞扫描ZAP工具的基础使用
web安全-----ZAP扫描漏洞问题以及解决
博客之家
09-29 1693
此版块持续更新中。。。。 目前发现的问题大部分都是后端C代码的问题,以及少部分前端代码的问题。
OWASP ZAP 测试报告中文乱码解决方案
m0_65901944的博客
05-09 2773
测试报告中文乱码 解决方案:将JDK版本升级至11及以上。
渗透测试工具ZAP入门教程4)-OWASP ZAP警报详解
seanyang_的博客
05-29 2526
使用OWASP ZAP对网站进行安全扫描扫描后发现一些警告。使用警告名称在百度进行搜索就能看到在OWASP ZAP网站上对应警告的解释。可以在如下地址输入alert查询。
owasp-zap设置扫描策略
高毅的博客
12-25 5199
OWASP zap在Win10电脑,响应报文乱码问题,最简单的使用
u014230794的博客
08-29 1397
OWASP zap初次使用配置,响应报文中文乱码,火狐浏览器无法启动问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值