Question

Я тестирую приложение rails для проблемы XSS, используя пользовательский интерфейс OWASP ZAP. Приложение использует Webpack для обработки ресурсов (JavaScript, CSS, шрифты и т. Д.). После выполнения атаки / сканирования я получаю проблему XSS, которая использует запрос GET для http://localhost:3000/packs.

Поскольку это запрос GET, я подумал, что приложение могло случайно открыть такую конечную точку. Я попытался перейти по этому URL в браузере, но страница с красной ошибкой на красных рельсах подтверждает, что Нет совпадений с маршрутом [GET] "/packs".

Я ожидаю, что такой проблемы безопасности не будет на ZAP. Может кто-нибудь помочь, пожалуйста?

Simon Bennetts · Answer 1 · 29 марта 2019

Очень сложно сказать без дополнительной информации. Весьма вероятно, что вектор атаки, используемый ZAP, был отражен в HTML на этой странице. Это не обязательно означает, что это XSS, вам нужно будет удовлетворить себя так или иначе. Если вы обнаружите, что это ложный положительный результат, то, пожалуйста, поднимите это как проблему в репозитории ZAP, чтобы мы могли надеяться исправить это.

Проблема XSS поднята на http://localhost:3000/packs

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Проблема XSS поднята на http://localhost:3000/packs

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы