我们能否挑出一条警告说“未启用 Web 浏览器 XSS 保护”并在 ZAP 代理中重新运行
Posted
技术标签:
【中文标题】我们能否挑出一条警告说“未启用 Web 浏览器 XSS 保护”并在 ZAP 代理中重新运行【英文标题】:Can we single out an alert say "Web Browser XSS Protection Not Enabled" and rerun in ZAP Proxy 【发布时间】:2018-07-11 09:59:25 【问题描述】:上下文:
我们使用 OWASP Zed Attack Proxy 2.7.0 版对应用程序进行漏洞测试。我们收到了一些警报,正在解决问题。
问题:
我们想挑出一条警告说“Web Browser XSS Protection Not Enabled”并运行验证。
我们正在尝试的解决方案:
我们正在探索的可能性之一是操作模式。我们现在可以执行其中一种操作模式,例如标准、攻击等。 有没有办法自定义操作模式并运行单个警报?
【问题讨论】:
【参考方案1】:是的,您只需要启用特定的扫描规则并禁用所有其他规则。最简单的方法是在桌面 UI 中配置扫描策略,然后将其导出。然后,您可以将其用于自动扫描。
在这种情况下,警报是被动的。你检查过基线扫描吗? https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
我们在 Mozilla 使用此功能每天对 100 多个网站进行健全性检查。您可以轻松生成配置文件,然后使用文本编辑器对其进行更改,以便它只报告您感兴趣的问题。
【讨论】:
谢谢西蒙,这帮助我们走上了正确的道路。以上是关于我们能否挑出一条警告说“未启用 Web 浏览器 XSS 保护”并在 ZAP 代理中重新运行的主要内容,如果未能解决你的问题,请参考以下文章