OWASP ZAP 扫描将“应用程序错误披露”返回到 javascript 库。是误报吗?如何证明或修复?

Posted

技术标签:

【中文标题】OWASP ZAP 扫描将“应用程序错误披露”返回到 javascript 库。是误报吗?如何证明或修复?【英文标题】:OWASP ZAP scan returns "Application Error Disclosure" to javascript library. Is it false positive? How to proove that or fix? 【发布时间】:2020-03-04 06:55:42 【问题描述】:

在使用 OWASP ZAP 2.8.0 进行自动扫描后,我有 javascript 文件(moxiejs 库)的“应用程序错误披露”。网站基于更新到最新版本的 wordpress。 如何修复这个漏洞?还是误报?

Medium (Medium) Application Error Disclosure
Description 
This page contains an error/warning message that may disclose sensitive information like the location of the file that produced the unhandled exception. This information can be used to launch further attacks against the web application. The alert could be a false positive if the error message is found inside a documentation page.

URL http://x.x.x.x/wordpress/wp-includes/js/plupload/moxie.min.js?ver=1.3.5
Method  GET
Evidence    Internal Server Error
Instances   1
Solution    
Review the source code of this page. Implement custom error pages. Consider implementing a mechanism to provide a unique error reference/identifier to the client (browser) while logging the details on the server side and not exposing them to the user.

Reference   
CWE Id  200
WASC Id 13
Source ID   3

我发现 moxiejs 脚本包含字符串“内部服务器错误”,例如 (https://raw.githubusercontent.com/WordPress/WordPress/master/wp-includes/js/plupload/moxie.min.js)。 ZAP 是否通过搜索错误文本进行检查?

【问题讨论】:

【参考方案1】:

是的,这是误报,因为 ZAP 扫描了一个 JS-URL,其中包含诸如 RuntimeError: '500:Internal Server Error' 之类的关键字,这就是您收到此误报消息的原因。

【讨论】:

有关如何在 ZAP 中处理误报的详细信息,请参阅github.com/zaproxy/zaproxy/wiki/FAQhandleFP

以上是关于OWASP ZAP 扫描将“应用程序错误披露”返回到 javascript 库。是误报吗?如何证明或修复?的主要内容,如果未能解决你的问题,请参考以下文章

尝试扫描时 OWASP/ZAP 悬空

OWASP ZAP:持续集成中的主动扫描器

OWASP ZAP 中的被动扫描

Owasp zap 工具 - 如何获取通过和失败测试的列表?

owasp zap手动扫描---chrome浏览器闪退

Owasp ZAP工具 - 如何获取通过的测试列表