问题场景:
一次测试中对某个路由器使用owasp zap安全扫描软件扫描web漏洞,发现该网关设备存在跨站点dom脚本漏洞和shell注入多个漏洞。
问题分析:
因为该路由器设备已经经过多次安全问题修复,这种跨站和注入脚本基本上不可能存在。经过owasp zap日志分析,发现owasp zap向网关模拟发送一个模拟攻击报文,报文格式为http://192.168.x.x/wlrouter/ssid.asp#<script>alert(1)</script>,由于网关没有按照owasp zap预设逻辑返回400 错误应答,导致owasp zap判断有漏洞产生,其日志和报告如下:
通过whireshark抓包分析,发现zap发出的报文为不带#后面的攻击报文,即网关设备收到报文为正常报文,继续分析发现,owasp zap通过自带的firefox浏览器引擎发送报文, 该引擎会自动将#后面的攻击关键字删除。
问题原因
owasp zap认为已发送了攻击报文,实际上它调用的浏览器引擎没有发送攻击关键字,因此网关返回正常报文,从而导致owasp zap报告安全漏洞。