Il mio scanner VM ha rilevato le seguenti vulnerabilità attraverso una scansione autenticata, vedi sotto.
Si tratta di un'app Web fornita da BIGSQL (Dev & Ops Web App). È sicuro usare questa app o sarebbe possibile sfruttare tali vulnerabilità senza avere credenziali? Se qualcuno riesce a ottenere l'accesso non autorizzato all'app Web, immagino che tali vulnerabilità siano l'ultima delle mie preoccupazioni.
Qualsiasi risultato di una scansione automatica deve essere seguito con test manuali per confermare o rifiutare un risultato.
Inoltre, senza la conoscenza esatta di ciò che fa la tua applicazione è difficile determinare l'impatto di alcune di queste vulnerabilità, ma in generale non permetterei un'app in produzione con alcuni dei problemi rilevati nella scansione come XSS, CSRF e Bandiere di biscotti.
Devi determinare cosa fa l'applicazione, i dati che utilizza e le azioni che possono essere eseguite attraverso di esso e quindi capire le vulnerabilità e in che modo possono influire su utenti e dati.
Non eliminerei una vulnerabilità solo perché è stata trovata con una scansione autenticata, soprattutto se chiunque può registrarsi / registrarsi tramite l'applicazione. Sicuramente vuoi avere più livelli di difesa.
Consiglio di eseguire alcuni test manualmente per confermarli e, se sono confermati, mettere in atto misure per XSS, CSRF, cookie flags, click jacking, ma ancora una volta devi determinare i tuoi rischi in base alla tua applicazione
Leggi altre domande sui tag appsec