Насколько уязвимости OWASP ZAP достоверны?

Я решил протестировать сайт OWASP ZAP и он показал много различных уязвимостей. Насколько они достоверны?

2 симпатии

OWASP ZAP (сокращение от Zed Attack Proxy)-это сканер безопасности веб-приложений с открытым исходным кодом. Он предназначен для использования как новичками в области безопасности приложений, так и профессиональными тестировщиками проникновения.

OWASP ошибается?

Бывает. Но мы же должны все равно смотреть каждую уязвимость “в ручную”.

У меня был один занятный случай, при сканирования одного проекта, так вот сканер упорно показывал пару уязвимостей под красным флажком.

Интересно, но так он воспринимал результаты поискового скрипта, который показывал на странице введенные данные. Там не было уязвимости.

Надо разбирать каждый конкретный случай.

3 симпатии