OWASP ZAP X-Frame-Optionsと存在しないhtmlファイルで偽陽性である

Question

OWASP ZAPを使用してアプリケーションの脆弱性をテストしています。

私はログインページのURLでクイックスタート攻撃を使用しています。

EclipseからTomcatでアプリケーションを実行しています。

現在2つの問題があります。

1. はZAPは、私が削除されたHTMLページを検索します。プロジェクトのどこにも存在しませんが、ZAPはアラートを生成します。それは最初の実行の時に存在しました。

2. ZAPはX-Frame-Contentヘッダーに関する警告を生成しますが、このヘッダーは存在し、Firefox F12ツールに表示されます。私はアプリケーションのログインページをIFrameしようとするシンプルなシミュレータを書いていて、ブラウザはそれをブロックしていました。

私はZAPに何らかの種類のキャッシュがあり、ExitとDelete Sessionを行ったと推測していますが、何も変更されませんでした。

アドバイスをいただければ幸いです。 。0123。

Answer 1

ZAPはセッション内のすべてを保存するので、新しいセッションを開始する場合、ZAPは古いものから何も使用してはいけません。

新しいZAPセッションなど、これらの問題は繰り返し可能ですか？ アラートをクリックし、[応答]タブを確認すると、アプリケーションが期待していない応答を返す可能性があります。

Answer 2

ZAPは、すべてのサーバーレスポンス200と404に対してアラートを生成します。そのため、削除されたページでアラートが表示されました。これは、すべてのリソースに関するアラートの理由でもありました。 セキュリティヘッダーを生成するようにTomcatを設定しました。その後、ZAPはアラートを生成しません。

Answer 3

これは、ユーザーグループのスレッドで覆われていた：https://groups.google.com/forum/m/?pli=1#!topic/zaproxy-users/e764_WPWCRc

URLは、アラートツリーでクリックし、アラートパネルに表示されるアラートが適用されるURLです。必ずしもクイックスタートタブに入力されたURLである必要はありません。 アラートに関連する応答は、アラートを選択してから[クイックスタート]タブの後にある[応答]タブに移動すると表示されます。

ユーザーがどのURL /リソースに影響を与えたかを適切に特定すると、Tomcat設定でセキュリティヘッダーが生成され、警告が表示されなくなりました。