我正在使用XSS的UI测试OWASP ZAP问题的rails应用程序。该应用程序使用Webpack处理资产(javascript,CSS,字体等)。执行攻击/扫描后,我得到一个在GET上使用http://localhost:3000/packs请求的XSS问题。
由于这是一个GET请求,我认为该应用程序可能会意外地暴露这样的端点。我试图在浏览器上找到该URL,但红色轨道红色错误页面确认没有路由匹配[GET]“/ packs”。
我希望不会在ZAP上看到这样的安全问题。有人可以帮忙吗?
没有更多信息很难说。 ZAP使用的攻击向量很可能已反映在该页面上的HTML中。这并不一定意味着它是一个XSS,你需要以某种方式满足自己。如果您确实发现它是误报,请将此作为ZAP回购中的问题提出,以便我们可以有希望修复它。