Mi escáner de VM ha detectado las siguientes vulnerabilidades a través de un análisis autenticado, consulte a continuación.
Esto es de una aplicación web provista por BIGSQL (Dev & Ops Web App). ¿Es seguro usar esta aplicación o sería posible explotar esas vulnerabilidades sin tener credenciales? Si alguien logra obtener acceso no autorizado a la aplicación web, me imagino que esas vulnerabilidades serían mi menor preocupación.
Todos los resultados de una exploración automatizada deben seguirse con pruebas manuales para confirmar o rechazar un resultado.
Además, sin saber exactamente qué hace su aplicación, es difícil determinar el impacto que tendrían algunas de estas vulnerabilidades, pero en general no permitiría que una aplicación entre en producción con algunos de los problemas detectados en la exploración como XSS, CSRF y Banderas de galletas.
Debe determinar qué hace su aplicación, los datos que utiliza y las acciones que se pueden realizar a través de ella y luego comprender las vulnerabilidades y cómo pueden afectar a sus usuarios y datos.
No descartaría una vulnerabilidad solo porque se encontró con un análisis autenticado, especialmente si alguien puede registrarse / registrarse a través de la aplicación. Definitivamente quieres tener múltiples capas de defensa.
Recomiendo hacer algunas pruebas manualmente para confirmarlas y si están confirmadas, coloque medidas para XSS, CSRF, banderas de cookies, haga clic en jacking pero nuevamente debe determinar sus propios riesgos en función de su aplicación
Lea otras preguntas en las etiquetas appsec