Ruby on rails 政府提出的XSS问题http://localhost:3000/packs
我正在使用OWASP ZAP的UI测试一个针对XSS问题的rails应用程序。该应用程序正在使用Webpack来处理javascript、css、字体等资产。在执行攻击/扫描后,我收到一个XSS问题,该问题在上使用get请求http://localhost:3000/packs. 由于这是一个GET请求,我想应用程序可能意外地暴露了这样的端点。我试图在浏览器上转到该URL,但“红轨红色错误”页面确认没有与[GET]/packs]匹配的路由Ruby on rails 政府提出的XSS问题http://localhost:3000/packs,ruby-on-rails,webpack,owasp,zap,Ruby On Rails,Webpack,Owasp,Zap,我正在使用OWASP ZAP的UI测试一个针对XSS问题的rails应用程序。该应用程序正在使用Webpack来处理javascript、css、字体等资产。在执行攻击/扫描后,我收到一个XSS问题,该问题在上使用get请求http://localhost:3000/packs. 由于这是一个GET请求,我想应用程序可能意外地暴露了这样的端点。我试图在浏览器上转到该URL,但“红轨红色错误”页面确认没有与[GET]/packs]匹配的路由 我希望不会在ZAP上看到这样的安全问题。有人能帮忙吗?没
我希望不会在ZAP上看到这样的安全问题。有人能帮忙吗?没有更多信息,很难说。 很可能ZAP使用的攻击向量已经反映在该页面的HTML中。 这并不一定意味着它是XSS,你需要以某种方式满足自己。 如果你确实发现这是一个假阳性,那么请在ZAP回购协议中提出这一问题,以便我们有希望解决它