Qualsiasi risultato di una scansione automatica deve essere seguito con test manuali per confermare o rifiutare un risultato.
Inoltre, senza la conoscenza esatta di ciò che fa la tua applicazione è difficile determinare l'impatto di alcune di queste vulnerabilità, ma in generale non permetterei un'app in produzione con alcuni dei problemi rilevati nella scansione come XSS, CSRF e Bandiere di biscotti.
Devi determinare cosa fa l'applicazione, i dati che utilizza e le azioni che possono essere eseguite attraverso di esso e quindi capire le vulnerabilità e in che modo possono influire su utenti e dati.
Non eliminerei una vulnerabilità solo perché è stata trovata con una scansione autenticata, soprattutto se chiunque può registrarsi / registrarsi tramite l'applicazione. Sicuramente vuoi avere più livelli di difesa.
Consiglio di eseguire alcuni test manualmente per confermarli e, se sono confermati, mettere in atto misure per XSS, CSRF, cookie flags, click jacking, ma ancora una volta devi determinare i tuoi rischi in base alla tua applicazione