OWASP ZAP 扫描漏洞误报分析
问题场景:
一次测试中对某个路由器使用owasp zap安全扫描软件扫描web漏洞,发现该网关设备存在跨站点dom脚本漏洞和shell注入多个漏洞。
问题分析:
因为该路由器设备已经经过多次安全问题修复,这种跨站和注入脚本基本上不可能存在。经过owasp zap日志分析,发现owasp zap向网关模拟发送一个模拟攻击报文,报文格式为http://192.168.x.x/wlrouter/ssid.asp#<script>alert(1)</script>,由于网关没有按照owasp zap预设逻辑返回400 错误应答,导致owasp zap判断有漏洞产生,其日志和报告如下:
通过whireshark抓包分析,发现zap发出的报文为不带#后面的攻击报文,即网关设备收到报文为正常报文,继续分析发现,owasp zap通过自带的firefox浏览器引擎发送报文, 该引擎会自动将#后面的攻击关键字删除。
问题原因
owasp zap认为已发送了攻击报文,实际上它调用的浏览器引擎没有发送攻击关键字,因此网关返回正常报文,从而导致owasp zap报告安全漏洞。
OWASP ZAP 扫描漏洞误报分析相关推荐
- 原创软件误报? 杀毒软件厂商误报分析提交地址
点击阅读原文 为了较快解决病毒误报问题,现将杀毒软件厂商误报分析提交地址整理如下. 1:瑞星安全中心: http://mailcenter.rising.com.cn/FileCheck/ 2:金山安 ...
- 部分安全厂商误报分析提交方法
对于新生成的EXE.无论使用什么开发工具,对于现在很多基于云查杀的安全类软件都有极高的误报率.只要你的软件没有恶意代码纯属于误报的情况:仅仅需要简单的提交你的被误报的软件给相关杀毒厂商基本都会比较快的 ...
- 关于Android SDK工具Lint的误报分析
在项目基本做完后,我们通常会用Android SDK自带的工具Lint来检查一下项目中的一些潜在的问题(右键工程-->Android Tools-->Run Lint:Check for ...
- 记一次内网SSH后门误报事件
本文章记录的是安全平台一次告警的误报分析过程,记录此文当作笔记. 发现告警 在安全平台发现了下载sh脚本的告警 点开查看告警完整信息 分析过程 下载该脚本发现,4台主机下载的都是同一个脚本,功能为记录 ...
- 关于自己制作的软件被杀毒软件误报的解决办法
为了较快解决病毒误报问题,现将杀毒软件厂商误报分析提交地址整理如下: 1:瑞星安全中心: http://mailcenter.rising.com.cn/FileCheck/ 2:金山安全中心: ht ...
- qualys java 误报_从拒绝到接受 解析漏洞管理的五个阶段
很多人应该都记得2003年"蠕虫的一年",在那年的1月25日,我们看到了SQL Slammer蠕虫攻下了整个美国的自动提款机,同时感染了全球范围内数百万台个人电脑和服务器,该蠕虫病 ...
- OWASP ZAP安全扫描基础流程
OWASP ZAP安全扫描工具使用较为方便,主要可以用于渗透性测试,类似用抓包工具,在浏览器和服务器之间,可以对信息进行分析和扫描. 安装环境:运行Java 8或更高版本JDK 这里介绍下最基础的扫描 ...
- 简单分析MySQL 一则慢日志监控误报问题
这篇文章主要介绍了MySQL 一则慢日志监控误报的问题分析与解决,帮助大家更好的理解和使用MySQL,感兴趣的朋友可以了解下 之前因为各种原因,有些报警没有引起重视,最近放假马上排除了一些潜在的人为原 ...
- 动态污点分析——隐式流造成的漏报和误报
污点分析面临 2 个问题:污染过度(overtainting)和污染缺失(undertainting). 其中,污染过度是将一个与污点输入无依赖关系的数据变量标记为污点属性,即产生误报. 而污染缺失则 ...
最新文章
- html6个圆圈放一排,html中两个选择框如何并排放置(一)
- python文件读写用到的库_python 读写txt文件并用jieba库进行中文分词
- rgb fusion检测不到显卡_【论文阅读27】Co-Fusion
- 用python计算绩点的代码_【Python】计算GPA
- 复杂类型java对象 — dto数据传输对象
- 《CLR via C#》读书笔记 之 基元类型、引用类型和值类型
- python模块datetime_Python模块学习 datetime介绍
- c++ 输出二进制_C语言 printf 格式化输出的详细示例
- curses.h: No such file or directory
- WinRAR注册+去广告教程
- 解决Excel 闪退问题(如果你最近装了visio的话点进来)
- Lotka-Volterra模型
- hⅰgh怎么读音发音英语_gh和ph的发音
- 基于OpenGL ES 的深度学习框架编写
- 从4G到5G,从物联网到云计算 通信的下一个引爆点在哪里?
- 半加器、全加器的FPGA实现
- 雪球产品,场外雪球结构介绍
- CZ880到手第一天测试,安装Windows11 To Go
- 要去实习应该把这些面试题搞(bei)懂(hui)
- MATLAB中常用到的符号汇总(持续更新)
热门文章
- lumen 项目根目录_Lumen简单使用
- 你想要的宏基因组-微生物组知识全在这(1908)
- 【ct107d】开发版说明书
- 5 matlab详解牛顿下山法求解复杂函数代数方程和超越方程
- SOHO如何做外贸独立站?
- 手机里的照片导入计算机的方法,如何把iphone照片导入电脑 四种方法分享【图文】...
- html,bootstrap,js,jquery图片点击模态窗口放大图片,可以滚动常看长图
- 电影与幸福感期末答案和平时测试答案
- Unity3d中的走路动画
- 麒麟V10系统-wps提示不小心挂掉了