Может ли кто-нибудь подсказать, как определить из предупреждений отчета ZAP, какое предупреждение относится к какой уязвимости OWASP top 10. Например, я видел один пример отчета ZAP, в котором столбец Reference
имел OWASP top 10 URL
в качестве значения.
В моем отчете ZAP есть следующие столбцы:
- Заголовок
- Описание
- URL
- Экземпляры
- Решение
- Ссылка
- CWE ID
- WASC ID
- ID источника
Ниже приведены 10 основных уязвимостей OWASP:
https://owasp.org/www-project-top-ten/
- Инъекция сломана
- Аутентификация
- Раскрытие конфиденциальных данных
- Внешние объекты XML (XXE)
- Сломанный контроль доступа
- Неправильная конфигурация безопасности
- Межсайтовый скриптинг (XSS)
- Небезопасная десериализация
- Использование компонентов с известными уязвимостями
- Недостаточное ведение журнала и мониторинг
Хотя очевидно, что нам нужно подробно изучить каждое предупреждение и логически сопоставить его с первой десяткой OWASP. Но мне было интересно, может ли какой-либо атрибут предупреждения помочь в этом разобраться.