ZAP 似乎错误地报告了 Angular 应用程序中的路径遍历漏洞

ZAP seems to incorrectly report path traversal vulnerability in Angular app

我 运行 OWASP ZAP 作为自动化 CI/CD 流程的一部分。我正在做蜘蛛和主动扫描。报告显示存在路径遍历错误。

首先,这是一个 Angular 2 站点,因此不会在服务器上显示任何内容。其次,当我查看有问题的 URL 和没有 "attack" 时,结果是相同的。 URL 只是将 JavaScript 文件下载到浏览器,查询字符串被忽略。我们正在使用 webpack 进行打包。

https://mysite/js/vendor.ece5bf651436a14bea3e.bundle.js?query=c%3A%2F

如果它是误报,我们如何标记它以便后续运行不会继续将其标记为问题?我们正在为这个自动化过程使用每周 docker 图片。

您可以将 ZAP 配置为使用 Context Alert Filters 自动将它们标记为误报。

但是,如果您也提出 ZAP issue 并提供尽可能多的信息,那将非常有用,这样我们就有希望修复代码,使其不再被报告。