OWASP ZAP扫描后怎么处理’信息泄露’的低风险漏洞?
用OWASP ZAP扫描公司登录页面时,总提示’信息泄露’低风险漏洞,但实际访问页面没问题
具体是说响应头里有Server字段暴露了nginx版本号,我按照教程在服务器加了header("Server: none"),重启Nginx后手动检查响应头确实看不到Server字段了
但重新跑ZAP扫描时还是报同样的错误,甚至多出了’X-Powered-By’字段泄露?明明后端PHP配置了expose_php = Off…
这是不是ZAP缓存了旧数据?还是说需要配置其他地方?感觉改了配置就是没生效的样子…
- 2
回答
38浏览
为什么OWASP ZAP无法拦截Angular应用的某些AJAX请求?
我在用OWASP ZAP测试Angular项目时发现,虽然设置了代理8080,大部分请求都能拦截,但文件上传和实时搜索的两个AJAX请求完全没反应。用F12看网络面板明明有这些请求,ZAP里却显示空白...
- 1
回答
91浏览
前端应急响应时如何快速定位XSS漏洞的攻击入口?
最近在处理一个紧急安全事件,发现有人利用表单提交功能注入了XSS脚本。我们用了OWASP ZAP扫描,但始终找不到具体漏洞点。前端代码里有个动态渲染的评论区,像这样: <div id="comm...
- 1
回答
14浏览
为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回...
- 2
回答
11浏览
OWASP依赖检查显示高危漏洞,但依赖项已是最新版本怎么办?
我在项目里用OWASP Dependency-Check扫描时,发现axios@1.6.2有CVE-2023-2793高危漏洞,但运行npm update后版本没变。检查了package.json里明...
- 2
回答
62浏览
使用前端框架时漏洞扫描工具提示XSS漏洞该怎么处理?
我在项目里用Vue写了一个富文本展示组件,用v-html渲染后台返回的内容,漏洞扫描工具提示存在反射型XSS漏洞。我尝试过用String.prototype.replace过滤尖括号,但扫描结果还是报...
- 2
回答
35浏览
在前端用模板字符串拼接SQL时,怎么防OWASP Top 10的注入漏洞?
我在做用户搜索功能时,后端让前端传原始搜索词,用模板字符串拼接SQL查询。但测试时发现这属于A03注入漏洞。虽然改用了参数化查询,但后端报错说参数顺序不对... 具体场景是用户输入框内容拼接到"SEL...
- 1
回答
20浏览
React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错: // 组件里这样引用的 import ...
- 1
回答
19浏览
表格数据处理导致页面卡顿,Long Task怎么优化?
最近在做表格数据处理功能,当用户导入超过1w条数据时页面会卡死几秒,Lighthouse检测到Long Task有12秒。我尝试把循环改成用setTimeout分片处理,但实际运行时还是出现长时间阻塞...
- 1
回答
37浏览
Vue组件里用隐私计算库处理输入数据时,怎么防止内存泄露风险?
我在做一个需要隐私计算的表单组件,用vue3配合某隐私计算SDK,但发现输入框数据直接绑定到响应式变量后,通过浏览器开发者工具能看到明文数据。 尝试过这样写代码: <template> &...
- 1
回答
23浏览
Vue组件中手机号脱敏显示失效了怎么办?
在用户信息展示页面需要脱敏显示手机号,写了计算属性处理,但发现像13812345678这样的号码显示成138****5678是对的,可当输入1391234567这种11位以外的号码时就直接返回原值了,...
你那边 PHP 的
expose_php = Off是对的,但确认下 php.ini 是否被正确加载,有些环境会额外加载额外的配置覆盖了主配置。Nginx 加下面这一段防止缓存干扰:
跑完 ZAP 之前别用浏览器访问一遍目标 URL,浏览器会缓存响应头。用
curl -I http://yourdomain.com确认下 Server 和 X-Powered-By 真的没了再扫。