Поле риска с пустым значением для многих предупреждений в деталях предупреждений OWASP ZAP

Может ли кто-нибудь предложить, почему данные Риск являются пустыми для многих предупреждений в подробностях предупреждений OWASP ZAP, доступных на следующем официальном сайте ZAP:

https://www.zaproxy.org/docs/alerts/

Например -

Id      Alert                                                               Risk

10011   Cookie Without Secure Flag                                          Low
10009   In Page Banner Information Leak
10015   Incomplete or No Cache-control and Pragma HTTP Header Set
10017   Cross-Domain JavaScript Source File Inclusion
10019   Content-Type Header Missing
10020   X-Frame-Options Header
10020-1 X-Frame-Options Header Not Set                                      Medium

Как в таких случаях следует определять риск или серьезность. Должен ли он быть основан на том, применим ли риск к конкретному веб-приложению.

Кроме того, для некоторых предупреждений в отчетах ZAP Риск заполняется, например, Низкий (Средний). Следует ли считать его низким или средним.


security websecurity owasp zap
person Anshul Singhal    schedule 27.11.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Работа над этой документацией все еще продолжается. Некоторые правила сканирования вызывают несколько предупреждений (с разными рисками). Правила активного и пассивного сканирования имеют разные методы / значения по умолчанию. Команда работает над устранением обеих ситуаций в правилах сканирования и путем связывания документов с описанием предупреждений.

Low(Medium) - это риск (уверенность). (Не риск и риск.)

person kingthorin    schedule 27.11.2020