[研究][ASP.NET]ZAP 與 AWVS 黑箱弱點掃描工具結果比較
2023-11-21
ZAP 是 OWASP Zed Attack Proxy (敝人用 14.2.0)
AWVS 是 Acunetix Web Vulnerability Scanner , Acunetix Web Application Security Scanner (可能是 15.x,不確定)
環境:Visual Studio 2022 + ASP.NET + WebForm + Web Application + C#
敝人沒有 AWVS 修復後掃描結果,因該修復前 AWVS 不是敝人掃描。敝人想測試修復是否成功,故找了免費的 ZAP 來測試。
********************************************************************************
某些低等級弱點修復前,AWVS掃描結果
Low:
- Cookies without Secure flag set(Cookies 未設定 Secure flag)
- HTTP Strict Transport Security (HSTS) not implemented(未使用 HSTS 強制安全傳輸技術)
- Possible virtual host found(可能虛擬主機存在)
- Clickjacking: X-Frame-Options header(點閱綁架, User Interface redress attack, UI redress attack, UI redressing)
- Cookies with missing, inconsistent or contradictory properties(部分Cookie屬性設定有衝突、缺少或不符合格式)
********************************************************************************
某些低等級弱點修復前,ZAP掃描結果
Medium:
- Absence of Anti-CSRF Tokens (11)
- Content Security Policy (CSP) Header Not Set (12)
- ELMAH 資訊外洩
- Vulnerable JS Library (2)
- Cookie Without Secure Flag (3)
- Cookie without SameSite Attribute
- Cross-Domain JavaScript Source File Inclusion (3)
- Strict-Transport-Security Header Not Set (46)
- Authentication Request Identified
- Information Disclosure - Suspicious Comments (51)
- Modern Web Application (11)
- Re-examine Cache-control Directives (14)
- Session Management Response Identified (5)
- User Agent Fuzzer (12)
- User Controllable HTML Element Attribute (Potential XSS) (11)
********************************************************************************
某些低等級弱點修復後,ZAP掃描結果
- Absence of Anti-CSRF Tokens (11)
- Content Security Policy (CSP) Header Not Set (12)
- ELMAH 資訊外洩
- Vulnerable JS Library (2)
- Cookie without SameSite Attribute
- Cross-Domain JavaScript Source File Inclusion (3)
- Authentication Request Identified
- Information Disclosure - Suspicious Comments (17)
- Modern Web Application (11)
- Re-examine Cache-control Directives (14)
- Session Management Response Identified (18)
- User Agent Fuzzer (12)
- User Controllable HTML Element Attribute (Potential XSS) (11)
********************************************************************************
不同的工具,判定結果本就可能不同。
********************************************************************************
SameSite 問題在 AWVS 是在 Cookies with missing, inconsistent or contradictory properties 弱點,因為 ASP.NET WebForm 的 Web.Config 並沒有直接支援該屬性,是以程式方式解決,但 ZAP 似乎仍判定有問題。
[研究][ASP.NET]弱點掃描出現Cookies with missing, inconsistent or contradictory properties之解決
https://shaurong.blogspot.com/2023/11/aspnetcookies-with-missing-inconsistent.html
敝人沒有 AWVS 修復後掃描結果,因該修復前 AWVS 不是敝人掃描。敝人想測試修復是否成功,故找了免費的 ZAP 來測試。
(完)
相關
[研究][ASP.NET]ZAP 與 AWVS 黑箱弱點掃描工具結果比較https://shaurong.blogspot.com/2023/11/aspnetzap-awvs.html
[研究][ASP.NET]OWASP Zed Attack Proxy (ZAP) 2.14.0 弱掃試用https://shaurong.blogspot.com/2023/11/aspnetowasp-zed-attack-proxy-zap-2140.html
[研究] OWASP Zed Attack Proxy (ZAP) v2.7.0 黑箱弱點掃描工具安裝與試用
http://shaurong.blogspot.com/2018/06/owasp-zed-attack-proxy-zap-v270.html
[研究] OWASP WebGoat 8.0 安裝
http://shaurong.blogspot.com/2018/06/owasp-webgoat-80.html
[研究] OWASP WebGoatFor.Net 安裝
http://shaurong.blogspot.com/2016/12/owasp-webgoatfornet.html
[研究] OWASP WebGoat 7.1 安裝
http://shaurong.blogspot.com/2016/12/owasp-webgoat-71.html
[研究] OWASP Zed Attack Proxy (ZAP) 2.4.2、2.6.0 滲透測試、弱點掃描工具安裝與試用
http://shaurong.blogspot.com/2015/10/owasp-zed-attack-proxy-zap-242.html
沒有留言:
張貼留言