OWASP Zed Attack Proxy (ZAP) — программа с открытым исходным кодом для комплексного сканирования сайтов с целью поиска уязвимостей.
Программа запускается в GUI режиме с простым и интуитивно понятным интерфейсом.
В ходе сканирования все ресурсы с уязвимостями отображаются на вкладке "Оповещения" (Alerts). Там можно увидеть полный список страниц по каждому из типов уязвимостей. При выделении конкретного типа проблемы, описание возможного решения выводится в контентной области в поле "Решение" (Solution).
Наиболее частые проблемы и способы их решения:
Программа запускается в GUI режиме с простым и интуитивно понятным интерфейсом.
В ходе сканирования все ресурсы с уязвимостями отображаются на вкладке "Оповещения" (Alerts). Там можно увидеть полный список страниц по каждому из типов уязвимостей. При выделении конкретного типа проблемы, описание возможного решения выводится в контентной области в поле "Решение" (Solution).
Наиболее частые проблемы и способы их решения:
- Directory Browsing - листинг содержимого директорий
- закрыть от просмотра указанные директории
- X-Frame-Options Header Not Set - не установлено правило для отображения фреймов
- для всего сайта
- Incomplete or No Cache-control and Pragma HTTP Header Set - заголовки кеширования имеют неверное значение
- просмотреть для каждого из типов файлов
- Web Browser XSS Protection Not Enabled
- Установить заголовок X-XSS-Protection 1
- X-Content-Type-Options Header Missing
- не указан заголовок X-Content-Type-Options nosniff
Комментарии
Отправить комментарий