Zed工具及其精度

Question

我将Zap工具设置为代理，并捕获站点的浏览器跟踪(Urls)。我运行了这个工具，并生成了一份报告。在报告中，我在报告标记的给定页面上选取了几个输入元素，但我无法成功地反映值，因此无法使用Xss。我意识到了误报等问题，但我感到困惑，因为我认为该工具将能够准确地发现Xss问题。如果五角大楼发现了真正的Xss问题，那么为什么这个工具不能做同样的事情，或者他们是如何做的呢？我是不是漏掉了什么？

Answer 1

没有工具可以避免误报，无论它们的市场营销是怎么说的;)工具必须平衡误报和漏报以及它们发出的请求的数量，以及它们所花费的时间。一个100%准确但需要几个月才能扫描一个网站的工具对任何人都没有用处。在没有更多细节的情况下，我们不可能知道这些问题是否是假阳性。熟练的手动五行侠总是比任何一个工具都要好，但它们并不便宜。像ZAP这样的自动化工具可以在开发生命周期更早的时候发现潜在的问题。但如果你有一个高价值的网站，除了使用自动化工具外，你真的应该为手动五次安装付费。