2023年11月21日 星期二

[研究][ASP.NET]ZAP 與 AWVS 黑箱弱點掃描工具結果比較

[研究][ASP.NET]ZAP 與 AWVS 黑箱弱點掃描工具結果比較

2023-11-21

ZAP  是 OWASP Zed Attack Proxy (敝人用 14.2.0)

AWVS 是 Acunetix Web Vulnerability Scanner , Acunetix Web Application Security Scanner (可能是 15.x,不確定)

環境:Visual Studio 2022 + ASP.NET + WebForm + Web Application + C#

敝人沒有 AWVS 修復後掃描結果,因該修復前 AWVS 不是敝人掃描。敝人想測試修復是否成功,故找了免費的 ZAP 來測試。

********************************************************************************

某些低等級弱點修復前,AWVS掃描結果

Low:

  • Cookies without Secure flag set(Cookies 未設定 Secure flag)
  • HTTP Strict Transport Security (HSTS) not implemented(未使用 HSTS 強制安全傳輸技術)
  • Possible virtual host found(可能虛擬主機存在)
  • Clickjacking: X-Frame-Options header(點閱綁架, User Interface redress attack, UI redress attack, UI redressing)
  • Cookies with missing, inconsistent or contradictory properties(部分Cookie屬性設定有衝突、缺少或不符合格式)

********************************************************************************

某些等級弱點修復,ZAP掃描結果

Medium:

  • Absence of Anti-CSRF Tokens (11)
  • Content Security Policy (CSP) Header Not Set (12)
  • ELMAH 資訊外洩
  • Vulnerable JS Library (2)
Low:
  • Cookie Without Secure Flag (3)
  • Cookie without SameSite Attribute
  • Cross-Domain JavaScript Source File Inclusion (3)
  • Strict-Transport-Security Header Not Set (46)
Info:
  • Authentication Request Identified
  • Information Disclosure - Suspicious Comments (51)
  • Modern Web Application (11)
  • Re-examine Cache-control Directives (14)
  • Session Management Response Identified (5)
  • User Agent Fuzzer (12)
  • User Controllable HTML Element Attribute (Potential XSS) (11)

********************************************************************************

某些低等級弱點修復,ZAP掃描結果

Medium:
  • Absence of Anti-CSRF Tokens (11)
  • Content Security Policy (CSP) Header Not Set (12)
  • ELMAH 資訊外洩
  • Vulnerable JS Library (2)
Low:
  • Cookie without SameSite Attribute
  • Cross-Domain JavaScript Source File Inclusion (3)
Info:
  • Authentication Request Identified
  • Information Disclosure - Suspicious Comments (17)
  • Modern Web Application (11)
  • Re-examine Cache-control Directives (14)
  • Session Management Response Identified (18)
  • User Agent Fuzzer (12)
  • User Controllable HTML Element Attribute (Potential XSS) (11) 

********************************************************************************

不同的工具,判定結果本就可能不同。

********************************************************************************

SameSite 問題在 AWVS 是在 Cookies with missing, inconsistent or contradictory properties 弱點,因為 ASP.NET WebForm 的 Web.Config 並沒有直接支援該屬性,是以程式方式解決,但 ZAP 似乎仍判定有問題。

[研究][ASP.NET]弱點掃描出現Cookies with missing, inconsistent or contradictory properties之解決
https://shaurong.blogspot.com/2023/11/aspnetcookies-with-missing-inconsistent.html

敝人沒有 AWVS 修復後掃描結果,因該修復前 AWVS 不是敝人掃描。敝人想測試修復是否成功,故找了免費的 ZAP 來測試。

(完)

相關

[研究][ASP.NET]ZAP 與 AWVS 黑箱弱點掃描工具結果比較https://shaurong.blogspot.com/2023/11/aspnetzap-awvs.html

[研究][ASP.NET]OWASP Zed Attack Proxy (ZAP) 2.14.0 弱掃試用https://shaurong.blogspot.com/2023/11/aspnetowasp-zed-attack-proxy-zap-2140.html

[研究] OWASP Zed Attack Proxy (ZAP) v2.7.0 黑箱弱點掃描工具安裝與試用
http://shaurong.blogspot.com/2018/06/owasp-zed-attack-proxy-zap-v270.html

[研究] OWASP WebGoat 8.0 安裝
http://shaurong.blogspot.com/2018/06/owasp-webgoat-80.html

[研究] OWASP WebGoatFor.Net 安裝
http://shaurong.blogspot.com/2016/12/owasp-webgoatfornet.html

[研究] OWASP WebGoat 7.1 安裝
http://shaurong.blogspot.com/2016/12/owasp-webgoat-71.html

[研究] OWASP Zed Attack Proxy (ZAP) 2.4.2、2.6.0 滲透測試、弱點掃描工具安裝與試用
http://shaurong.blogspot.com/2015/10/owasp-zed-attack-proxy-zap-242.html

沒有留言:

張貼留言