ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

ZAP Scanning Report

Summary of Alerts

Risk Level Number of Alerts

High 0
Medium 3
Low 13
Informational 0

Alert Detail

Medium (Medium) CSP Scanner: Wildcard Directive

The following directives either allow wildcard sources (or ancestors), are not defined, or are
overly broadly defined:
Description
frame-ancestor

URL http://127.0.0.1:1820/
Method GET
Paramete
Content-Security-Policy
r
default-src 'none'; script-src 'self'; connect-src 'self'; child-src 'self'; img-src 'self' data:; font-src
Evidence
'self' data:; style-src 'self'
URL http://127.0.0.1:1820/Index
Method GET
Paramete
Content-Security-Policy
r
default-src 'none'; script-src 'self'; connect-src 'self'; child-src 'self'; img-src 'self' data:; font-src
Evidence
'self' data:; style-src 'self'
Instances 2
Ensure that your web server, application server, load balancer, etc. is properly configured to set
Solution
the Content-Security-Policy header.
http://www.w3.org/TR/CSP2/

http://www.w3.org/TR/CSP/

Reference http://caniuse.com/#search=content+security+policy

http://content-security-policy.com/

https://github.com/shapesecurity/salvation
CWE Id 16
WASC Id 15
Source ID 3

1 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Medium (Medium) Divulgación de error de aplicación

Esta página contiene un mensaje de error/advertencia que podría revelar información sensible
como la ubicación del archivo que produjo la excepción no controlada. Esta información puede
Description
ser usada para lanzas futuros ataques contra la aplicación web. La alerta podría ser una falso
positivo si el mensaje de error es encontrado dentro de una página de documentación.

URL http://192.168.0.16/backup/?N=D
Method GET
Evidence Parent Directory
URL http://192.168.0.16/backup/?D=A
Method GET
Evidence Parent Directory
URL http://192.168.0.16/supplier/?M=A
Method GET
Evidence Parent Directory
URL http://192.168.0.16/backup/?S=D
Method GET
Evidence Parent Directory
URL http://192.168.0.16/scanbot/
Method GET
Evidence Parent Directory
URL http://192.168.0.16/supplier/?S=D
Method GET
Evidence Parent Directory
URL http://192.168.0.16/scanbot/?M=A
Method GET
Evidence Parent Directory
URL http://192.168.0.16/backup/?D=D
Method GET
Evidence Parent Directory
URL http://192.168.0.16/supplier/?D=A
Method GET
Evidence Parent Directory
URL http://192.168.0.16/backup/
Method GET
Evidence Parent Directory
URL http://192.168.0.16/supplier/?S=A
Method GET
Evidence Parent Directory

2 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

URL http://192.168.0.16/supplier/?M=D
Method GET
Evidence Parent Directory
URL http://192.168.0.16/supplier/?N=A
Method GET
Evidence Parent Directory
URL http://192.168.0.16/supplier/
Method GET
Evidence Parent Directory
URL http://192.168.0.16/scanbot/?N=A
Method GET
Evidence Parent Directory
URL http://192.168.0.16/scanbot/?M=D
Method GET
Evidence Parent Directory
URL http://192.168.0.16/supplier/?N=D
Method GET
Evidence Parent Directory
URL http://192.168.0.16/supplier/?D=D
Method GET
Evidence Parent Directory
URL http://192.168.0.16/backup/?S=A
Method GET
Evidence Parent Directory
URL http://192.168.0.16/scanbot/?S=A
Method GET
Evidence Parent Directory
Instances 27
Revisar el código de fuente de esta página. Implementación de páginas de error
personalizadas. Considerar implementar un mecanismos para proveer una única
Solution
referencia/identificación de error para el cliente (navegador) mientras insertando los detalles en
el sitio del navegador y no exponiéndolos al usuario.
Reference
CWE Id 200
WASC Id 13
Source ID 3

Medium (Medium) Encabezado X-Frame-Options no establecido

El encabezado X-Frame_options no está incluido en la respuesta HTTP para proteger ante
Description
ataques 'ClickJacking'.

3 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

URL http://192.168.0.16/cgi-bin/badstore.cgi?action=aboutus
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/scanbot/deth2botz.html
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/backup/
Method GET
Paramete
X-Frame-Options
r
http://192.168.0.16/cgi-bin/badstore.cgi?action=qsearch&action=whatsnew&cartitems=1003&
URL
searchquery=ZAP
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/backup/?S=A
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/cgi-bin/bsheader.cgi
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=moduser
Method POST
Paramete
X-Frame-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=login
Method POST
Paramete
X-Frame-Options
r
URL http://192.168.0.16/supplier/
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/backup/?S=D

4 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=doguestbook
Method POST
Paramete
X-Frame-Options
r
URL http://192.168.0.16/scanbot/?D=D
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=viewprevious
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/backup/?N=A
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/backup/?M=D
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=qsearch&searchquery=ZAP
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=login&action=qsearch&searchquery=ZAP
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/backup/?N=D
Method GET
Paramete
X-Frame-Options
r
URL http://192.168.0.16/supplier/?M=A
Method GET
Paramete
X-Frame-Options
r
Instances 57

5 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Los navegadores de web mas modernos apoyan la cabecera HTTP X-Frame-Options.

Asegúrese que está establecido en todas las páginas web devuelta por su sitio (si usted
espera que la página este enmarcada solo por páginas en su servidor (por ejemplo, es parte
Solution
de un FRAMESET) entonces usted querrá usar SAMEORIGIN, de otras forma si usted nunca
espera que la página esté enmarcada, debería usar DENY. ALLOW-FROM permite a sitios web
específicos enmarcar la página web en navegadores web compatibles).
http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-
Reference
options.aspx
CWE Id 16
WASC Id 15
Source ID 3

Low (Medium) CSP Scanner: Notices

Warnings:

1:60: The child-src directive is deprecated as of CSP level 3. Authors who wish to regulate
Description
nested browsing contexts and workers SHOULD use the frame-src and worker-src directives,
respectively.

URL http://127.0.0.1:1820/Index
Method GET
Paramete
Content-Security-Policy
r
default-src 'none'; script-src 'self'; connect-src 'self'; child-src 'self'; img-src 'self' data:; font-src
Evidence
'self' data:; style-src 'self'
URL http://127.0.0.1:1820/
Method GET
Paramete
Content-Security-Policy
r
default-src 'none'; script-src 'self'; connect-src 'self'; child-src 'self'; img-src 'self' data:; font-src
Evidence
'self' data:; style-src 'self'
Instances 2
Ensure that your web server, application server, load balancer, etc. is properly configured to set
Solution
the Content-Security-Policy header.
http://www.w3.org/TR/CSP2/

http://www.w3.org/TR/CSP/

Reference http://caniuse.com/#search=content+security+policy

http://content-security-policy.com/

https://github.com/shapesecurity/salvation
CWE Id 16
WASC Id 15
Source ID 3

Low (Medium) No se encuentra encabezado X-Content-Type-Options Header

6 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

El encabezado Anti-MIME-Sniffing X-Content-Type-Options no estaba configurado para

'nosniff'. Esto permite versiones antiguas de Internet Explores y Chrome ejecutar MIME-sniffing
en el cuerpo de la respuesta, causando potencialmente que el cuerpo de respuesta sea
Description
interpretado y desarrollado como un tipo de contenido diferente que el tipo de contenido
declarado. Estos (principios de 2014) y versiones antiguas de Firefox preferiblemente usarán el
tipo de contenido declarado (si hay uno establecido), antes que ejecutar el MIME-Sniffing.

URL https://tracking-protection.cdn.mozilla.net/allow-flashallow-digest256/1490633678
Method GET
Paramete
X-Content-Type-Options
r
URL https://tracking-protection.cdn.mozilla.net/except-flashsubdoc-digest256/1517935265
Method GET
Paramete
X-Content-Type-Options
r
URL https://tracking-protection.cdn.mozilla.net/block-flashsubdoc-digest256/1512160865
Method GET
Paramete
X-Content-Type-Options
r
URL https://tracking-protection.cdn.mozilla.net/mozstd-trackwhite-digest256/1559142673
Method GET
Paramete
X-Content-Type-Options
r
URL https://tracking-protection.cdn.mozilla.net/base-track-digest256/1559142673
Method GET
Paramete
X-Content-Type-Options
r
URL https://tracking-protection.cdn.mozilla.net/block-flash-digest256/1496263270
Method GET
Paramete
X-Content-Type-Options
r
URL https://tracking-protection.cdn.mozilla.net/except-flashallow-digest256/1490633678
Method GET
Paramete
X-Content-Type-Options
r
URL https://tracking-protection.cdn.mozilla.net/except-flash-digest256/1494877265
Method GET
Paramete
X-Content-Type-Options
r
Instances 8
Asegúrese que el servidor de la aplicación/web establezca el encabezado Content-Type
apropiadamente, y que esté establecido el encabezado X-Content-Type-Options en 'nosniff'
Solution para todas las páginas web.

Si es posible, asegúrese que el último usuario usa un navegador web complatible con los

7 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

estándares y moderno que no ejecute MIME-sniffing en absoluto, o que pueda ser dirigida por
el servidor de la aplicación/web para no ejecutar MIME-sniffing.
Este inconveniente aún aplica para páginas de error (401, 403, 500, etc) ya que esas páginas
a menudo todavía están afectadas por problemas de inyección, en cuyos casos aún hay
Other information
preocupación de buscadores rastreando páginas fuera de su tipo de contenido verídico. En
límite 'alto' este escáner no alertará sobre las respuestas de error al cliente o servidor.

http://msdn.Microsoft.com/en-us/library/Ie/gg622941%28v=vs.85%29.aspx
Reference
https://www.owasp.org/index.php/List_of_useful_HTTP_headers
CWE Id 16
WASC Id 15
Source ID 3

Low (Medium) No se encuentra encabezado X-Content-Type-Options Header

El encabezado Anti-MIME-Sniffing X-Content-Type-Options no estaba configurado para
'nosniff'. Esto permite versiones antiguas de Internet Explores y Chrome ejecutar MIME-sniffing
en el cuerpo de la respuesta, causando potencialmente que el cuerpo de respuesta sea
Description
interpretado y desarrollado como un tipo de contenido diferente que el tipo de contenido
declarado. Estos (principios de 2014) y versiones antiguas de Firefox preferiblemente usarán el
tipo de contenido declarado (si hay uno establecido), antes que ejecutar el MIME-Sniffing.

https://snippets.cdn.mozilla.net/us-west/bundles
URL
/bundle_647678a6afc5fee54fae2a9092ff4bc81ba1c129.json
Method GET
Paramete
X-Content-Type-Options
r
Instances 1
Asegúrese que el servidor de la aplicación/web establezca el encabezado Content-Type
apropiadamente, y que esté establecido el encabezado X-Content-Type-Options en 'nosniff'
para todas las páginas web.
Solution
Si es posible, asegúrese que el último usuario usa un navegador web complatible con los
estándares y moderno que no ejecute MIME-sniffing en absoluto, o que pueda ser dirigida por
el servidor de la aplicación/web para no ejecutar MIME-sniffing.
Este inconveniente aún aplica para páginas de error (401, 403, 500, etc) ya que esas páginas
a menudo todavía están afectadas por problemas de inyección, en cuyos casos aún hay
Other information
preocupación de buscadores rastreando páginas fuera de su tipo de contenido verídico. En
límite 'alto' este escáner no alertará sobre las respuestas de error al cliente o servidor.

http://msdn.Microsoft.com/en-us/library/Ie/gg622941%28v=vs.85%29.aspx
Reference
https://www.owasp.org/index.php/List_of_useful_HTTP_headers
CWE Id 16
WASC Id 15
Source ID 3

Low (Medium) Incompleto o no Cache-control y sistema de encabezado HTTP Pragma

El cache-control y encabezado HTTP Pragma no han sido establecidos apropiadamente o
Description
faltan, permitiendo al navegador y servidores proxy almacenar contenido.

https://snippets.cdn.mozilla.net/us-west/bundles
URL
/bundle_647678a6afc5fee54fae2a9092ff4bc81ba1c129.json
Method GET

8 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Paramete
Cache-Control
r
Evidence max-age=2592000
Instances 1
Siempre que sea posible asegurarse que el encabezado HTTP cache-control está establecido
Solution con no-cache, no-store, must-revalidate, y que el encabezado HTTP pragma esté establecido
con no-cache.
Reference https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Web_Content_Caching
CWE Id 525
WASC Id 13
Source ID 3

Low (Medium) Incompleto o no Cache-control y sistema de encabezado HTTP Pragma

El cache-control y encabezado HTTP Pragma no han sido establecidos apropiadamente o
Description
faltan, permitiendo al navegador y servidores proxy almacenar contenido.

URL https://search.services.mozilla.com/1/firefox/67.0.4/release/es-MX/MX/default/default
Method GET
Paramete
Cache-Control
r
Instances 1
Siempre que sea posible asegurarse que el encabezado HTTP cache-control está establecido
Solution con no-cache, no-store, must-revalidate, y que el encabezado HTTP pragma esté establecido
con no-cache.
Reference https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Web_Content_Caching
CWE Id 525
WASC Id 13
Source ID 3

Low (Medium) No se encuentra encabezado X-Content-Type-Options Header

El encabezado Anti-MIME-Sniffing X-Content-Type-Options no estaba configurado para
'nosniff'. Esto permite versiones antiguas de Internet Explores y Chrome ejecutar MIME-sniffing
en el cuerpo de la respuesta, causando potencialmente que el cuerpo de respuesta sea
Description
interpretado y desarrollado como un tipo de contenido diferente que el tipo de contenido
declarado. Estos (principios de 2014) y versiones antiguas de Firefox preferiblemente usarán el
tipo de contenido declarado (si hay uno establecido), antes que ejecutar el MIME-Sniffing.

URL https://search.services.mozilla.com/1/firefox/67.0.4/release/es-MX/MX/default/default
Method GET
Paramete
X-Content-Type-Options
r
Instances 1
Asegúrese que el servidor de la aplicación/web establezca el encabezado Content-Type
apropiadamente, y que esté establecido el encabezado X-Content-Type-Options en 'nosniff'
para todas las páginas web.
Solution
Si es posible, asegúrese que el último usuario usa un navegador web complatible con los
estándares y moderno que no ejecute MIME-sniffing en absoluto, o que pueda ser dirigida por
el servidor de la aplicación/web para no ejecutar MIME-sniffing.

9 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Este inconveniente aún aplica para páginas de error (401, 403, 500, etc) ya que esas páginas
a menudo todavía están afectadas por problemas de inyección, en cuyos casos aún hay
Other information
preocupación de buscadores rastreando páginas fuera de su tipo de contenido verídico. En
límite 'alto' este escáner no alertará sobre las respuestas de error al cliente o servidor.

http://msdn.Microsoft.com/en-us/library/Ie/gg622941%28v=vs.85%29.aspx
Reference
https://www.owasp.org/index.php/List_of_useful_HTTP_headers
CWE Id 16
WASC Id 15
Source ID 3

Low (Medium) No se encuentra encabezado X-Content-Type-Options Header

El encabezado Anti-MIME-Sniffing X-Content-Type-Options no estaba configurado para
'nosniff'. Esto permite versiones antiguas de Internet Explores y Chrome ejecutar MIME-sniffing
en el cuerpo de la respuesta, causando potencialmente que el cuerpo de respuesta sea
Description
interpretado y desarrollado como un tipo de contenido diferente que el tipo de contenido
declarado. Estos (principios de 2014) y versiones antiguas de Firefox preferiblemente usarán el
tipo de contenido declarado (si hay uno establecido), antes que ejecutar el MIME-Sniffing.

https://shavar.services.mozilla.com/downloads?client=navclient-auto-ffox&appver=67.0&
URL
pver=2.2
Method POST
Paramete
X-Content-Type-Options
r
Instances 1
Asegúrese que el servidor de la aplicación/web establezca el encabezado Content-Type
apropiadamente, y que esté establecido el encabezado X-Content-Type-Options en 'nosniff'
para todas las páginas web.
Solution
Si es posible, asegúrese que el último usuario usa un navegador web complatible con los
estándares y moderno que no ejecute MIME-sniffing en absoluto, o que pueda ser dirigida por
el servidor de la aplicación/web para no ejecutar MIME-sniffing.
Este inconveniente aún aplica para páginas de error (401, 403, 500, etc) ya que esas páginas
a menudo todavía están afectadas por problemas de inyección, en cuyos casos aún hay
Other information
preocupación de buscadores rastreando páginas fuera de su tipo de contenido verídico. En
límite 'alto' este escáner no alertará sobre las respuestas de error al cliente o servidor.

http://msdn.Microsoft.com/en-us/library/Ie/gg622941%28v=vs.85%29.aspx
Reference
https://www.owasp.org/index.php/List_of_useful_HTTP_headers
CWE Id 16
WASC Id 15
Source ID 3

Low (Medium) Incompleto o no Cache-control y sistema de encabezado HTTP Pragma

El cache-control y encabezado HTTP Pragma no han sido establecidos apropiadamente o
Description
faltan, permitiendo al navegador y servidores proxy almacenar contenido.

URL https://location.services.mozilla.com/v1/country?key=7e40f68c-7938-4c5d-9f95-e61647c213eb
Method POST
Paramete
Cache-Control
r

10 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Instances 1
Siempre que sea posible asegurarse que el encabezado HTTP cache-control está establecido
Solution con no-cache, no-store, must-revalidate, y que el encabezado HTTP pragma esté establecido
con no-cache.
Reference https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Web_Content_Caching
CWE Id 525
WASC Id 13
Source ID 3

Low (Medium) No se encuentra encabezado X-Content-Type-Options Header

El encabezado Anti-MIME-Sniffing X-Content-Type-Options no estaba configurado para
'nosniff'. Esto permite versiones antiguas de Internet Explores y Chrome ejecutar MIME-sniffing
en el cuerpo de la respuesta, causando potencialmente que el cuerpo de respuesta sea
Description
interpretado y desarrollado como un tipo de contenido diferente que el tipo de contenido
declarado. Estos (principios de 2014) y versiones antiguas de Firefox preferiblemente usarán el
tipo de contenido declarado (si hay uno establecido), antes que ejecutar el MIME-Sniffing.

URL https://location.services.mozilla.com/v1/country?key=7e40f68c-7938-4c5d-9f95-e61647c213eb
Method POST
Paramete
X-Content-Type-Options
r
Instances 1
Asegúrese que el servidor de la aplicación/web establezca el encabezado Content-Type
apropiadamente, y que esté establecido el encabezado X-Content-Type-Options en 'nosniff'
para todas las páginas web.
Solution
Si es posible, asegúrese que el último usuario usa un navegador web complatible con los
estándares y moderno que no ejecute MIME-sniffing en absoluto, o que pueda ser dirigida por
el servidor de la aplicación/web para no ejecutar MIME-sniffing.
Este inconveniente aún aplica para páginas de error (401, 403, 500, etc) ya que esas páginas
a menudo todavía están afectadas por problemas de inyección, en cuyos casos aún hay
Other information
preocupación de buscadores rastreando páginas fuera de su tipo de contenido verídico. En
límite 'alto' este escáner no alertará sobre las respuestas de error al cliente o servidor.

http://msdn.Microsoft.com/en-us/library/Ie/gg622941%28v=vs.85%29.aspx
Reference
https://www.owasp.org/index.php/List_of_useful_HTTP_headers
CWE Id 16
WASC Id 15
Source ID 3

Low (Medium) Protección de buscador de web XSS no disponible

La protección del buscador de web XSS no está disponible, o está deshabilitada por la
Description
configuración de la cabecera de respuesta de HTTP 'X-XSS-Protection' en el servidor de web

URL http://192.168.0.16/icons/unknown.gif
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/supplier/
Method GET

11 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Paramete
X-XSS-Protection
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=myaccount
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/sitemap.xml
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/backup/?M=A
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/scanbot/?D=D
Method GET
Paramete
X-XSS-Protection
r
http://192.168.0.16/cgi-bin/badstore.cgi?action=loginregister&action=qsearch&
URL
searchquery=ZAP
Method GET
Paramete
X-XSS-Protection
r
http://192.168.0.16/cgi-bin/badstore.cgi?action=qsearch&action=viewprevious&
URL
searchquery=ZAP
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/scanbot/deth2botz.html
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/icons/text.gif
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/cgi-bin/bsheader.cgi
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=qsearch&action=whatsnew&searchquery=ZAP
Method GET

12 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Paramete
X-XSS-Protection
r
URL http://192.168.0.16/cgi-bin/badstore.cgi
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=cartview&action=qsearch&searchquery=ZAP
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/supplier/?D=D
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=login
Method POST
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/supplier/?S=D
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=doguestbook
Method POST
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/supplier/?D=A
Method GET
Paramete
X-XSS-Protection
r
URL http://192.168.0.16/backup/
Method GET
Paramete
X-XSS-Protection
r
Instances 65
Asegúrese que el filtro XSS del navegador web está habilitado, estableciendo el encabezado
Solution
de respuesta HTTP X-XSS-Protection en '1'.
El encabezado de respuesta HTTP X-XSS-Protection le permite al servidor web habilitar o
deshabilitar el mecanismo de protección del navegador web XSS. Los siguientes valores
intentan habilitarlo:
Other information
X-XSS-Protection: 1; mode=bloqueo

X-XSS-Protection:1; reporte=http://www.example.com/xss

13 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Los siguiente valores lo deshabilitarían:

X-XSS-Protection: 0

El encabezado de respuesta HTTP X-XSS-Protection es actualmente compatible en Internet

Explorer, Chrome y Safari (WebKit). Tenga en cuenta que esta alerta solo se produce si el
cuerpo de respuesta podría pontecialmente contener una carga útil XSS (con un tipo de
contenido basado en texto, con una longitud distinta de cero).

https://www.OWASP.org/index.php/XSS _ (Cross_Site_Scripting) _Prevention_Cheat_Sheet

Reference
https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/
CWE Id 933
WASC Id 14
Source ID 3

Low (Medium) No se encuentra encabezado X-Content-Type-Options Header

El encabezado Anti-MIME-Sniffing X-Content-Type-Options no estaba configurado para
'nosniff'. Esto permite versiones antiguas de Internet Explores y Chrome ejecutar MIME-sniffing
en el cuerpo de la respuesta, causando potencialmente que el cuerpo de respuesta sea
Description
interpretado y desarrollado como un tipo de contenido diferente que el tipo de contenido
declarado. Estos (principios de 2014) y versiones antiguas de Firefox preferiblemente usarán el
tipo de contenido declarado (si hay uno establecido), antes que ejecutar el MIME-Sniffing.

URL http://192.168.0.16/images/1003.jpg
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/BadStore_net_v2_1_Manual.pdf
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=aboutus&action=qsearch&searchquery=ZAP
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/frmvrfy.js
Method GET
Paramete
X-Content-Type-Options
r
http://192.168.0.16/cgi-bin/badstore.cgi?action=doguestbook&action=qsearch&
URL
searchquery=ZAP
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=guestbook
Method GET
Paramete
X-Content-Type-Options
r

14 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

URL http://192.168.0.16/icons/back.gif
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/backup/?N=D
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=qsearch&searchquery=ZAP
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=login&action=qsearch&searchquery=ZAP
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/supplier/?M=A
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=whatsnew
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/images/cart.jpg
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/backup/?S=D
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=myaccount&action=qsearch&searchquery=ZAP
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/images/1005.jpg
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=guestbook&action=qsearch&searchquery=ZAP

15 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/icons/blank.gif
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/images/BadStore.jpg
Method GET
Paramete
X-Content-Type-Options
r
URL http://192.168.0.16/backup/?D=A
Method GET
Paramete
X-Content-Type-Options
r
Instances 79
Asegúrese que el servidor de la aplicación/web establezca el encabezado Content-Type
apropiadamente, y que esté establecido el encabezado X-Content-Type-Options en 'nosniff'
para todas las páginas web.
Solution
Si es posible, asegúrese que el último usuario usa un navegador web complatible con los
estándares y moderno que no ejecute MIME-sniffing en absoluto, o que pueda ser dirigida por
el servidor de la aplicación/web para no ejecutar MIME-sniffing.
Este inconveniente aún aplica para páginas de error (401, 403, 500, etc) ya que esas páginas
a menudo todavía están afectadas por problemas de inyección, en cuyos casos aún hay
Other information
preocupación de buscadores rastreando páginas fuera de su tipo de contenido verídico. En
límite 'alto' este escáner no alertará sobre las respuestas de error al cliente o servidor.

http://msdn.Microsoft.com/en-us/library/Ie/gg622941%28v=vs.85%29.aspx
Reference
https://www.owasp.org/index.php/List_of_useful_HTTP_headers
CWE Id 16
WASC Id 15
Source ID 3

Low (Medium) Absence of Anti-CSRF Tokens

No Anti-CSRF tokens were found in a HTML submission form.

Una solicutud falsa entre sitios en un ataque que compromete y obliga a una víctima a enviar
su solicitud HTTP a un destino objetivo sin su conocimiento o intención para poder realizar una
acción como víctima. La causa oculta es la funcionalidad de la aplicación utilizando acciones
de URL/formulario que pueden ser adivinados de forma repetible. La naturaleza del ataque es
que CSRG explota la confianza que un sitio web proporciona a un usuario. Por el contrario, las
cadenas de comandos de los sitios cruzados (XSS) explotan la confianza que un usuario
Description proporciona en un sitio web. Al igual que XSS, los ataques CSRG no son de forma necesaria
de sitios cruzados, pero hay la posibilidad de que si pueden serlo. La falsificación de las
solicitudes ente los sitios también se conoce como CSRF, XSRG, ataques con un solo clic,
montaje de sesión, diputado confundido y navegación en alta mar.

Los ataques de CSRG son muy efectivos en varias situaciones, que incluyen:

*La victima tiene una sesión activa en el sitio de destino.

16 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

*La víctima se autoriza por medio de la autenticación HTTP en el sitio de destino.

*La víctima se encuentra en la misma red local que el sitio de destino.

CSRF se ha utilizado especialmente para poder realizar una acción contra un sitio objetivo
utilizando los privilegios de la víctima, pero se han revelado técnicas recientes para difundir
información al obtener el acceso a la respuesta. El riesgo de divulgación de información
aumenta de forma drástica cuando el sitio de destino se encuentra vulnerable a XSS, porque
XSS se puede utilizar como una plataforma para CSRF, lo que le permite al atacante que opere
desde adentro de los líites de la misma política de origen.

URL http://192.168.0.16/cgi-bin/badstore.cgi?action=cartview
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=cartview&action=qsearch&searchquery=ZAP
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=loginregister
Method GET
<FORM METHOD="POST" ACTION="/cgi-bin/badstore.cgi?action=login"
Evidence
ENCTYPE="application/x-www-form-urlencoded">
http://192.168.0.16/cgi-bin/badstore.cgi?action=loginregister&action=qsearch&
URL
searchquery=ZAP
Method GET
<FORM METHOD="POST" ACTION="/cgi-bin/badstore.cgi?action=register"
Evidence
ENCTYPE="application/x-www-form-urlencoded">
http://192.168.0.16/cgi-bin/badstore.cgi?action=qsearch&action=viewprevious&
URL
searchquery=ZAP
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=register
Method POST
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=qsearch&action=whatsnew&searchquery=ZAP
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=aboutus&action=qsearch&searchquery=ZAP
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=guestbook&action=qsearch&searchquery=ZAP
Method GET

17 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>

URL http://192.168.0.16/cgi-bin/badstore.cgi?action=moduser
Method POST
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
http://192.168.0.16/cgi-bin/badstore.cgi?action=loginregister&action=qsearch&
URL
searchquery=ZAP
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=login&action=qsearch&searchquery=ZAP
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=loginregister
Method GET
<FORM METHOD="POST" ACTION="/cgi-bin/badstore.cgi?action=register"
Evidence
ENCTYPE="application/x-www-form-urlencoded">
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=doguestbook
Method POST
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=viewprevious
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=login
Method POST
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
URL http://192.168.0.16/cgi-bin/badstore.cgi?action=whatsnew
Method GET
Evidence <form>
http://192.168.0.16/cgi-bin/badstore.cgi?action=qsearch&action=whatsnew&cartitems=1003&
URL
searchquery=ZAP
Method GET
Evidence <FORM name=qsearch onsubmit=/cgi-bin/badstore.cgi method=get>
http://192.168.0.16/cgi-bin/badstore.cgi?action=loginregister&action=qsearch&
URL
searchquery=ZAP
Method GET
<FORM METHOD="POST" ACTION="/cgi-bin/badstore.cgi?action=login"
Evidence
ENCTYPE="application/x-www-form-urlencoded">
Instances 35
Frase: Arquitectura y Diseño

Solution Utilice una biblioteca o marco comprobado que no acepte que ocura esta debilidad o que
proporcione construcciones que permitan que esta debilidad sea mas sencilla de evitar.

18 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Por ejemplo, utilice el paquete anti-CSRG como el CSRGuard de OWASP.

Fase: Implementación

Asegúrese de que su aplicación esté libre de fallas de secuencias de comandos entre sitios, ya
que la mayoría de las defensas de CSRF pueden detenerse por alto por medio del uso de
secuencias de comandos manejadas por el atacante.

Fase: Arquitectura y Diseño

Origina un nonce único para cada uno de los formularios, coloque el nonce en el formularo y
confirme la independencia al obtener el formulario. Asegúrese de que el nonce no sea
predecible (CWE-330).

Usted tiene que tener en cuenta que esto puede pasar desapercibido utilizando XSS.

Identificar las operaciones que sean especialmente peligrosas. Cuando el usuario desarrolla
una operación peligrosa, envíe una solicitud de confirmación de forma separada para poder
garantizar que el usuario tenga la intención de desarrollar esa operación.

Usted tiene que tener en cuenta que esto puede pasar desapercibido utilizando XSS.

Utilice el control de gestión de la sesión de ESAPI.

Este control introduce un elemento para CSRF.

No utilice el método GET para ninguna de las solicitudes que puedan desencadenar un cambio
de estado.

Fase: Implementación

Revise que la solicitud se creó en la página esperada. Esto podría quebrar la funcionalidad
auténtica, ya que los usuarios o los representantes puede ser que hayan desactivado el envío
de Referer por motivos de privacidad.
No known Anti-CSRF token [anticsrf, CSRFToken, __RequestVerificationToken,
Other information csrfmiddlewaretoken, authenticity_token, OWASP_CSRFTOKEN, anoncsrf, csrf_token, _csrf,
_csrfSecret] was found in the following HTML form: [Form 1: "searchquery" "action" ].

http://projects.webappsec.org/Cross-Site-Request-Forgery
Reference
http://cwe.mitre.org/data/definitions/352.html
CWE Id 352
WASC Id 9
Source ID 3

Low (Medium) Cookie No HttpOnly Flag

Se ha establecido una cookie sin la bandera HttpOnly, lo que significa que la cookie puede ser
accedida mediante JavaScript. Si un script malicioso puede ser ejecutado en esta página
Description
entonces la cookie será accesible y podrá ser transmitida a otro sitio. Si esta es una cookie de
sesión entonces el secuestro de sesión podría ser posible.

URL http://192.168.0.16/cgi-bin/badstore.cgi?action=register
Method POST
Paramete
SSOid
r
Evidence Set-Cookie: SSOid
Instances 1

19 de 20 04/07/2019 02:53 p. m.
ZAP Scanning Report file:///C:/Users/Israel/Desktop/BADSTORE/3

Solution Asegúrese que la bandera HttpOnly esta establecida para todas las cookies.
Reference http://www.owasp.org/index.php/HttpOnly
CWE Id 16
WASC Id 13
Source ID 3

20 de 20 04/07/2019 02:53 p. m.