owasp 十大漏洞中的 ZAP 警报分类

Posted

技术标签:

【中文标题】owasp 十大漏洞中的 ZAP 警报分类【英文标题】:ZAP alert categorization in owasp top 10 vulnerabilities 【发布时间】:2021-03-04 12:49:01 【问题描述】:

有人可以建议如何从 ZAP 报告警报中确定哪个警报属于哪个 OWASP 十大漏洞。例如,我看过一个示例 ZAP 报告,其中 Reference 列将 OWASP top 10 URL 作为值。

我的 ZAP 报告中有以下列:

标题 说明 网址 实例 解决方案 参考 CWE ID WASC ID 来源 ID

以下是 OWASP 十大漏洞:

https://owasp.org/www-project-top-ten/

    注入中断 身份验证 敏感数据暴露 XML 外部实体 (XXE) 访问控制损坏 安全配置错误 跨站脚本 (XSS) 不安全的反序列化 使用存在已知漏洞的组件 日志记录和监控不足

虽然,很明显,我们需要详细检查每个警报,并在逻辑上将其映射到 OWASP 前 10 名。但想知道是否有任何警报属性可以帮助解决这个问题。

【问题讨论】:

【参考方案1】:

有一个文档将各种 ZAP 功能映射到前 10 名,这里:https://www.zaproxy.org/docs/guides/zapping-the-top-10/

【讨论】:

以上是关于owasp 十大漏洞中的 ZAP 警报分类的主要内容,如果未能解决你的问题,请参考以下文章

OWASP ZAP - SSLHandshakeException:收到致命警报:handshake_failure

OWASP-ZAP

Owasp zap 工具 - 如何获取通过和失败测试的列表?

OWASP ZAP下载安装使用(详解)教程

(转)OWASP ZAP下载安装使用(详解)教程

CSRF 和 OWASP ZAP