22/4/23, 20:54 Informe de escaneo ZAP

Contents
• About this report

• Report parameters

• Summaries

• Alert counts by risk and confidence

• Alert counts by site and risk

• Alert counts by alert type

• Alerts

• Risk=A1to,_Confidence=Med1o (3)

• Risk=Med1o,_Confidence=A1to (1)

• Risk=Med1o,_Confidence=Medio (4)

• Risk=Med1o,_Confidence=Bajo (2}

• Risk=Bajo,_Confidence=A1to (1)

• Risk=Bajq, Confidence=Medio (6)

• Risk=Bajo,_Confidence=Bajo (1)

file:lIlC:/Users/mckno/2023-04-22-ZAP- 1/
22/4/23, 20:54 Informe de escaneo ZAP

• Risk=Informativo, ConGdence=Medio (2)

• Risk=Informativo,_ConGdence=Bajo (3)

• Apéndice

• Tipos de alerta

Acerca de este informe

Parámetros del informe

Contextos

No se seleccionaron contextos, por lo que todos los contextos se

incluyeron de forma predeterminada.

SitiOS

Se incluyeron los siguientes sitios:

• [Link]
• [Link]

(Si no se seleccionó ningún sitio, todos los sitios se incluyeron de forma

predeterminada).

Un sitio incluido también debe estar dentro de uno de los contextos

incluidos para que sus datos se incluyan en el informe.

Niveles de riesgo

Incluye: Alto, Medio, Bajo, Informativo

Excluido: Ninguno

Niveles de confianza

file:lIlC:/Users/mckno/2023-04-22-ZAP- 2/
22/4/23, Informe de escaneo
Incluido: Usuario confirmado, Alto, Medio, Bajo

Excluido: Usuario confirmado, Alto, Medio, Bajo, Falso positivo

Resúmenes
Conteos de alertas por riesgo y confianza

Esta tabla muestra el número de alertas para cada nivel de riesgo y confianza
incluido en el informe.

(Los porcentajes entre paréntesis representan el recuento como porcentaje del

número total de alertas incluidas en el informe, redondeado a un decimal.)

Confianza

Usuario
confirmado Contralto Medio Bajo Total
Contralto
0 (0,0 %) 0 %) 3 %) 0 (0,0 %) (13,0 %)
(0,0 (13,0 3
Medio
0 (0,0 %) 1 (4,3 %) 4 (17,4 %) 2 (8,7 %) 7 (30,4 %)

Bajo
Riesgo 0 (0,0 %) 1 (4,3 %) 6 (26,1 %) 1 (4,3 %) 8 (34,8 %)

Informati
vo 0 (0,0 %) 0 (0,0 %) 2 (8,7 %) 3 (13,0 %) 5 (21,7 %)

Total 23
0 (0,0 %) 2 %) 15 (65,2 6 %) (100%)
(8,7 (26,1

Conteo de alertas por sitio y riesgo

[Link] 3/
22/4/23, Informe de escaneo
Esta tabla muestra, para cada sitio para el que se generaron una o más alertas,
el número de descripciones generadas en cada nivel de riesgo.

Las alertas con un nivel de confianza de "Falso positivo" se han excluido de estos
recuentos.

(Los números entre paréntesis son el número de alertas generadas para el sitio
en o por encima de ese nivel de riesgo).

Informativo
Alto (= Alt Medio (›= M Bajo (›= Informa
o) edio) (›= bajo) tivo)
[Link]
[Link] 0 0 (0) 2 (2) I (3)
(0)
[Link]
[Link] 7 (10) 6 (16) 4 (20)
3 (3)

Recuentos de alertas por tipo de alerta

Esta tabla muestra el número de alertas de cada tipo de alerta, junto con el nivel
de riesgo del tipo de alerta.

(Los porcentajes entre paréntesis representan cada recuento como un

porcentaje, redondeado a un decimal, del número total de alertas incluidas en
este informe.)

Cross Site Scripting (reflejado) Contralto

2 (8, 7 %)

Abrir redireccionamiento Contralto

175

Tot 2

file:lIlC:/Users/mckno/2023-04-22-ZAP- 4/
22/4/23, Informe de escaneo

(760,9 %)

Redirección Externa Contralto

1 (4,3 %)

Ausencia de fichas (tokens) Anti-CSRF Medio 281

(1.221,7
%)

Cabecera Content Security Policy (CSP) no Medio

configurada 204
(887,0 %)

Desconfiguración de Dominio cruzado Medio

210
(913,0 %)

Exploración de directorios Medio

1 (4, 3 %)

Transición inseg ura de HTTP a HTTPS en Form Medio

Post 2 (8, 7 %)

Librería JS Vulnerable Medio

16 (69, 6

Manipulación de Parámetros Medio

1 (4,3 %)

Cookie No Httponly Flag Bajo

225
(978,3 %)

Cookie sin bandera segura Bajo

50 (217, 4

Tot 2

file:lIlC:/Users/mckno/2023-04-22-ZAP- 5/
22/4/23, Informe de escaneo
Tipo de alerta Riesgo Contar

Cookie sin el atributo SameSite Bajo

225
(978,3 %)

Inclusión de archivos fuente JavaScript entre Bajo

dominios 68 (295, 7

Divulgación de la marca de hora - Unix Bajo

76 (330,4

El servidor divulga información mediante un Bajo

campo(s ) de encabezado de respuesta HTTP 217
""X-Powered-By"" (943,5 %)

Encabezado Strict-Transport-Security no Bajo

establecido 131
(569,6 %)

Falta el encabezado X-Content-Type-Options Bajo 484

(2.104,3
O/

Divulgación de información - Comentarios Informativo

sospechosos 110
(478,3 %)

Aplicación web moderna Informativo

75 (326,1

Reexaminar las directivas de control de caché Informativo

36 (156,5

Tot 2

[Link] 6/
22/4/23, Informe de escaneo

Agente de usuario Fuzzer Informativo 600

(2.608,7
%)

Atributo de elemento HTML controlable por el Informalivo

usuario (XSS potencial) 153
(665,2 %)

Total 23

Alertas
Riesgo=A1to, Confianza=Nedio (3)

(3)

Cross Site Scripting (reflejado) (1)

> OBTENER
manufacturer_id=%27%3Balert%281%29%3B%27&product_id=46&route=prod uct%2Fproduc

Redireccionamiento abierto (1)

> PUBLICAR
route=common/currency/currency

Redirección Externa (1)

> PUBLICAR
route=common/currency/currency

file:lIlC:/Users/mckno/2023-04-22-ZAP- 7/
22/4/23, Informe de escaneo

Riesgo=Ned:to, Confianza=A1to (1)

(1)

Cabecera Content Security Policy (CSP) no configurada (1)

1 OBTENER

Riesgo=Medio, Confianza=Medio (4)

(4)

Desconfiguración de Dominio cruzado (1)

1 OBTENER

Exploración de directorios (1)

1 OBTENER

Transición insegura de HTTP a HTTPS en Form Post (1)

1 OBTENER
route=information/contact

Librería 3S Vulnerable (1)

1 OBTENER
[Link]

Riesgo-Hedio, Confianza=Bajo (2)

us (2)

[Link] 8/2
22/4/23, Informe de escaneo

Ausencia de fichas (tokens) Anti-CSRF (1)

1 OBTENER

Manipulación de Parámetros (1)

1 PUBLICAR
route=common/currency/currency

Riesgo=Bajo, Confianza=A1to (1)

[Link] . abstracta . us (1)

Encabezado Strict-Transport-Security no establecido (1)

1 OBTENER [Link]
route=account/wishlist

Riesgo=Bajo, Confianza=Hedio (6)

[Link] (1)

Cookie sin indicador seguro (1)

> OBTENER [Link]

route=account/wishlist

(5)

Cookie No HttpOnly Flag (1)

> OBTENER

Cookie sin el atributo SameSite (1)

[Link] 9/2
22/4/23, Informe de escaneo

1 OBTENER

Inclusión de archivos fuente JavaScript entre dominios (1)

> OBTENER
product_id=43&route=product/product

El servidor divulga información mediante un campo( s) de

encabezado de respuesta HTTP ""X-Powered-By"" (1)

1 OBTENER

Falta el encabezado X-Content-Type-Options (1)

1 OBTENER

Riesgo=Bajo, Confianza Bajo (1)

(1)

Divulgación de la marca de hora - Unix (1)

1 OBTENER
route=common/home

Riesgo=Informativo, ConGanza=Medio(2)

us (2)

Aplicación web moderna (1)

1 OBTENER
product_id=43&route=product/product

Agente de usuario Fuzzer (3.)

[Link] 10/
22/4/23, Informe de escaneo
1 PUBLICAR route=common/currency/currency

Riesgo=Informativo, Confianza=Bajo (3)

[Link] (1)

Reexaminar las directivas de control de caché (1)

1 OBTENER [Link]
route=account/login

(2)

Divulgación de información - Comentarios sospechosos (1)

> OBTENER
product_id=43&route=product/product

Atributo de elemento HTML controlable por el usuario (XSS

potencial) (1)

1 OBTENER
path=18&route=product/category

Apéndice
Tipos de alerta

Esta sección contiene información adicional sobre los tipos de alertas del
informe.

file:lIlC:/Users/mckno/2023-04-22-ZAP- 11/
22/4/23, Informe de escaneo
Cross Site Scripting (reflejado)

generado por un escáner activo (Cross Site

Scripting (reflejado))

79

• [Link]
Scripting

• [Link] [Link]/data/definitions/79. html

Abrir redireccionamiento

generado por un escáner pasivo (Open Redirect)

601

38

[Link]
Unvalidated Redirects and Forwards Cheat Sh
[Link]

[Link] [Link]/data/definitions/[Link]

Redirección Externa

levantado por un escáner activo (Redirección

Externa)

601

38

file:lIlC:/Users/mckno/2023-04-22-ZAP- 12/
22/4/23, Informe de escaneo
Referencia • [Link]
Redirector-Abuse

[Link]

Ausencia de fichas (tokens) Anti-CSRF

Fuente levantado por un escáner pasivo (Ausencia de

fichas (tokens) Anti-CSRF)

CWE ID 352

WASC ID 9
Referencia • [Link]
Request-Forgery

[Link]

Cabecera Content Security Policy (CSP) no configurada

Fuente planteado por un analizador pasivo (Cabecera

Content Security Policy (CSP) no configurada)

CWE ID 693

WASC ID 15
Referencia • [Link]
US/docs/Web/Security/CSP/Introducing Content
Security_PoIicy

[Link]
Content Security_PoIicy_Cheat Sheet. html

[Link] 13/
22/4/23, Informe de escaneo
• [Link]

[Link]
security-poIicy/[Link]

[Link]
/content-security-poIicy/

[Link]

• [Link]

Desconfiguración de Dominio cruzado

Fuente levantado por un escáner pasivo

(Desconfiguración de Dominio cruzado)

CWE ID 264

WASC ID 14
Referencia • [Link]
id=[Link].html5 overIy_permissive
cors policy

Exploración de directorios

Fuente levantado por un escáner activo (Exploración de

directorios)

CWE ID 548

WASC ID 48

[Link] 14/
22/4/23, Informe de escaneo
Referencia
[Link]
tions

[Link]
February/[Link]

Transición insegura de HTTP a HTTPS en Form Post

Fuente generado por un escáner pasivo (transición

insegura de HTTP a HTTPS en Form Post)

CWE ID 319

WASC ID 15

Reference • [cadena vacía]

Librería 3S Vulnerable

Source raised by a passive scanner (Librerfa

JS Vulnerable (Gracias a [Link]))

CWE ID 829

Reference • [Link]

• [Link]
2-and-1-12-reIeased/

• [Link]

• [Link]
4-0-reIeased/

• [Link]
11358
[Link] 15/
22/4/23, Informe de escaneo
• [Link]
9251

[Link]
91aea698e57d6db58c9f722cd0808619b1b

• [Link]

• [Link]
5-0-reIeased/

Manipulación de Parámetros

Source raised by an active scanner (Manipulación de

Parámetros)

CWE ID 472

WASC ID 20

Cookie No HttpOnly Flag

Source raised by a passive scanner (Cookie No HttpOnly

Flag)

CWE ID 1004

WASC ID 13
Reference • [Link]

Cookie Without Secure Flag

Fuente levantado por un escáner pasivo (Cookie sin

bandera segura)

[Link] 16/
22/4/23, Informe de escaneo
614

13

• [Link]
testing-guide/v41/4-
Web Application Security Testing/06-
Session Management Testing/02-
Testing for Cookies Attributes. html

Cookie sin el atributo SameSite

generado por un escáner pasivo (Cookie sin el

atributo SameSite)

1275

13

• [Link]
cookie-same-site

Inclusión de archivos fuente 3avaScript entre dominios

generado por un escáner pasivo (Cross-Domain

JavaScript Source File Inclusion )

829

15

Divulgación de la marca de hora - Unix

levantado por un escáner pasivo (Divulgación de

la marca de hora)

200

file:lIlC:/Users/mckno/2023-04-22-ZAP- 17/
22/4/23, Informe de escaneo
WASC ID 13

Referencia
[Link]
6/Information%20Leakage

El servidor divulga información mediante un campo(s) de

encabezado de respuesta HTTP ""X-Powered-By""

Fuente raised by a passive scanner (El servidor divulga

información mediante un campo(s) de
encabezado de respuesta HTTP "’X-Powered-
By””)

CWE ID 200

WASC ID 13

Referencia
[Link]
04/23/Remove-Unwanted-http-Response-
[Link]
[Link] t-
[Link]

Encabezado Strict-Transport-Security no establecido

Fuente generado por un escáner pasivo

(Strict- Transport-Security Header)

CWE ID 319

WASC ID 15

Referencia •
[Link]
HTTP Strict Transport Security_Cheat Sheet. ht

[Link] 18/
22/4/23, Informe de escaneo
• [Link]
community/Security_Headers

[Link] Strict Transp

ort Security

• [Link]

• [Link] [Link]/html/rfc6797

X-Content-Type-Options Header Missing

Source raised by a passive scanner (X-Content-Type-

Options Header Missing)

CWE ID 693

WASC ID 15
Reference • [Link]
us/Iibrary/ie/gg622941%28v = vs.85 0/o29. aspx

• [Link]
community/Security_Headers

Divulgación de información - Comentarios sospechosos

Source raised by a passive scanner (Divulgación de

información - Comentarios sospechosos)

CWE ID 200

WASC ID 13

Modern Web Application

[Link] 19/
22/4/23, Informe de escaneo

Source
raised by a passive scanner (Modern Web
Application)

Re-examine Cache-control Directives

Source raised by a passive scanner (Re-examine Cache-

control Directives)

CWE ID 525

WASC ID 13

Referencia
[Link]
Session Management Cheat Sheet. htmI#web-
content-caching

• [Link]
US/docs/Web/HTTP/Headers/Cache-Control

• [Link]
control-recommendations/

Agente de usuario Fuzzer

Fuente generado por un escàner activo (User Agent

Fuzzer)

Referencia • [Link]

Atributo de elemento HTML controlable por el usuario (XSS

potencial)

Fuente generado por un escáner pasivo (User

Controllable HTML Element Attribute (Potential

[Link] 20/
22/4/23, Informe de escaneo
x
s
s

)
)

[Link] 21/
22/4/23, Informe de escaneo
20

20

[Link]
titIe=Checks#user-controlled-html-attribute

file:lIlC:/Users/mckno/2023-04-22-ZAP- 22/