OWASP ZAP не находит уязвимости которые вижу вручную почему

[roman2149]

Настроил OWASP ZAP 2.14 для автоматического сканирования своего тестового приложения (Python/Flask). Руками нашёл классический Reflected XSS в параметре поиска и SQL-инъекцию в форме входа — оба подтверждены через Burp. Запустил Active Scan в ZAP — он рапортует чисто, максимум Medium по заголовкам. Это нормально или я что-то не так настроил?

[savva_io]

ZAP, как и большинство DAST-инструментов, сильно зависит от того, прошёлся ли он по нужным точкам входа (attack surface). Сначала проверь: добавил ли ты приложение через Manual Explore или через Spider? Если Spider не нашёл форму входа — он её и не атакует. Попробуй вручную пройти по всем страницам с включённым ZAP-прокси, а потом запускай Active Scan — тогда он будет знать все эндпоинты.

[alina_mobile]

Ещё важный момент — аутентификация. Если твои уязвимые формы находятся за логином, ZAP должен быть настроен с Form-Based Authentication или Script-Based Authentication. Иначе он просто не доберётся до защищённых страниц. В ZAP: Tools → Options → Authentication, и там настраиваешь сессию. Это одна из самых частых причин ложных чистых результатов.

[cachego9376]

По XSS — ZAP иногда пропускает reflected XSS если в параметре нестандартный контекст: например, значение вставляется в атрибут href или в JS-переменную без HTML-кавычек. В таких случаях стандартные пейлоады типа `<script>alert(1)</script>` не сработают и ZAP промолчит, хотя уязвимость есть. Burp Scanner с его контекстно-зависимыми пейлоадами справляется лучше.

[nullloop7477]

Дополню по SQL-инъекции: ZAP использует базовый набор пейлоадов, а sqlmap с флагом `--level=5 --risk=3` и конкретным параметром (`-p username`) найдёт то, что ZAP пропустит. Это нормальная практика — DAST-сканеры как первичное сито, а специализированные инструменты для глубокой проверки конкретного класса уязвимостей.

[sonya_vue38]

Смотри ещё на настройки Scan Policy в ZAP. По умолчанию часть проверок отключена или стоит на Low strength. Зайди в Analyse → Scan Policy Manager, создай кастомную политику с Threshold=Low и Strength=High для нужных категорий. Разница в покрытии ощутимая.

[omegadata7864]

В целом — не жди от любого автоматического сканера 100% покрытия. По данным исследований, DAST-инструменты в среднем находят 20-40% реальных уязвимостей. Остальное — ручной анализ, логические баги, баги бизнес-логики. Инструменты помогают, но не заменяют пентестера.