Вопросы безопасности с Docusign API

Question

Мы разработали приложение в Salesforce, которое использует API веб-сервиса DocuSign (https://demo.docusign.net/api/3.0/dsapi.asmx для разработки и https://www.docusign.net/api/3.0/dsapi.asmx для производства). Мы обнаружили несколько уязвимостей при проверке безопасности обоих API. Мы использовали ZAP инструмент для сканирования безопасности и выявили следующие уязвимости:

1. X-Frame-Options Header Не Set
2. Неполная или No Cache-контроль и Pragma HTTP заголовок Set
3. Веб-браузер XSS защиты не Enabled
4. X-Content-Type-Options Header Отсутствующие

могут ли эти проблемы быть закреплены на веб-сервисов, или есть ли какой-либо документ, который доказывает, что они являются ложными положительными?

Благодаря

Answer 1

Zap, как и все автоматические сканеры, очень хороши в поиске общих просчетов и сравнивая приложения с передовой практикой. К сожалению, они часто не учитывают более масштабный сценарий. Настройка правильных x-заголовков для правильных сценариев - важная защита от обычных атак, таких как щелчок и XSS в потоках веб-клиента-клиента, поскольку они помогают информировать браузер пользователя, какие действия должны быть разрешены или нет. Однако эти атаки не имеют отношения к потоку API сервера к серверу, поэтому их следует считать ложными срабатываниями. Спасибо, что привлекли их к нашему вниманию, однако DocuSign постоянно инвестирует в безопасность нашей платформы, и мы ценим внимательно.