ZAP報告存在路徑穿越漏洞。它是如何找到它的？

security
zap
path-traversal

2016-04-26 132 views 0 likes

我正在用ZAP測試一個Web應用程序，它報告了一個path traversal vulnerability。我理解它是如何工作的（至少，我是這麼認爲的），所以我回顧了代碼，測試了URL，但我找不到修復漏洞的位置。我只從ZAP知道問題只出現在URL /service/book和參數category中。有趣的是，應用程序的其餘部分沒有相同的問題。ZAP報告存在路徑穿越漏洞。它是如何找到它的？

也許，如果我知道ZAP是如何找到它的，它將幫助我瞭解問題所在，並修復應用程序。 您是否知道我該如何檢查ZAP是否檢測到此漏洞？

來源

2016-04-26 JonDoe297

回答

繼承人該測試的源代碼：https://github.com/zaproxy/zap-extensions/blob/master/src/org/zaproxy/zap/extension/ascanrules/TestPathTraversal.java

這是否幫助？（ZAP項目負責人）

來源

2016-04-27 10:49:07

相關問題

1. PortScannerError「中未找到路徑NMAP程序」（但它是在路徑）
2. Facebook和Twitter的iframes穿越路徑
3. 停止d3路徑穿越地圖
4. 內部漏洞掃描報告
5. 安全漏洞 - veracode報告 - crlf注入
6. 獲得的唯一路徑數量穿越而穿越利用我創建的Neo4j穿越API
7. Get-ChildItem：無法找到路徑'env'，因爲它不存在
8. get-childitem：找不到路徑''，因爲它不存在
9. Set-ItemProperty：找不到路徑，因爲它不存在
10. Get-ChildItem找不到路徑，因爲它不存在
11. 防禦路徑穿越攻擊的最佳方法是什麼？
12. zap docker是否生成.xml報告？
13. 如何解決robots.txt漏洞告訴黑客重要和祕密路徑？
14. 如何找到它有mysql客戶端和路徑的主機？
15. 這個泄漏金絲雀報告有什麼漏洞？
16. 如何從另一個報告中指定報告的路徑？
17. 的Oracle SQL找到行穿越限制
18. SunOS上的C++應用程序存在內存泄漏。如何找到它？
19. glibc fnmatch漏洞：如何揭露漏洞？
20. 查找安全漏洞 - 真正的SQL注入還是誤報？
21. Voronoi情節，線路穿越
22. 玩家穿越物體時，它不應該是libgdx java
23. 如何檢查ZAP報告/警報是否在掃描後生成？
24. DEL說路徑不存在（它確實）
25. 在啓動它之前檢查是否存在其他報告
26. Oracle填充漏洞 - 它如何下載web.config？
27. Birt報告文件路徑
28. 即使它在jenkins slave上的路徑中也找不到IEDriverServer
29. 在OSX上Valgrind報告了這種內存泄漏，它來自哪裏？
30. 在jquery源碼中找到了它，它是如何工作的？