ZAP Scanning Report

ZAP Scanning Report

Summary of Alerts

Risk Level	Number of Alerts
High	0
Medium	3
Low	4
Informational	0

Alert Detail

Medium (Medium)	Multiple X-Frame-Options Header Entries
Description	X-Frame-Options (XFO) headers were found, a response with multiple XFO header entries may not be predictably treated by all user-agents.

URL	https://campus-dev.cegepadistance.ca
Parameter	X-Frame-Options
URL	https://campus-dev.cegepadistance.ca/login/index.php
Parameter	X-Frame-Options
URL	https://campus-dev.cegepadistance.ca/login/forgot_password.php
Parameter	X-Frame-Options
URL	https://campus-dev.cegepadistance.ca/help.php?component=moodle&identifier=cookiesenabled&lang=fr
Parameter	X-Frame-Options
Instances	4
Solution	Ensure only a single X-Frame-Options header is present in the response.
Reference	https://tools.ietf.org/html/rfc7034
CWE Id	16
WASC Id	15

Medium (Medium)	Divulgation par erreur dans l'application
Description	Cette page contient un message d’erreur/avertissement qui peut divulguer des informations sensibles, comme l’emplacement du fichier qui a produit l’exception non gérée. Cette information peut servir à lancer d'autres attaques contre l’application web. L’alerte pourrait être un faux positif si le message d’erreur se trouve à l’intérieur d’une page de documentation.

URL	https://campus-dev.cegepadistance.ca/login/index.php
Evidence	<b>Warning</b>: array_fill(): Number of elements must be positive in <b>/srv/www/vhosts/2016-07-19_1.7.1/lib/dml/mysqli_native_moodle_database.php</b> on line <b>1311</b><br />
Instances	1
Solution	Examinez le code source de cette page. Mettez en place des pages d’erreur personnalisées. Envisagez d’implémenter un mécanisme fournissant une référence/identificateur unique de l'erreur au client (navigateur), tout en journalisant les détails du côté serveur, les cachant ainsi à l’utilisateur.
Reference
CWE Id	200
WASC Id	13

Medium (Low)	Falsification de paramètre
Description	La manipulation des paramètres a provoqué une page d'erreur ou l'affichage d'une trace d'appel Java. Ceci indique un défaut de gestion des exceptions et ouvre des potentialités pour d'autres exploits.

URL	https://campus-dev.cegepadistance.ca/login/index.php
Parameter	password
Attack	on line <b>
Instances	1
Solution	Identifiez la cause de l'erreur et corrigez-la. Ne pas faite confiance aux entrées côté client et appliquez un contrôle serré du côté serveur. En outre, interceptez proprement les exceptions. Utilisez une page d'erreur générique 500 pour signaler les erreurs internes du serveur.
Reference
CWE Id	472
WASC Id	20

Low (Medium)	En-têtes HTTP Pragma et Cache-control incomplets ou absents
Description	Les en-têtes HTTP cache-control et pragma n’ont pas été définis correctement ou manquent, permettant au navigateur et aux proxys de mettre en cache le contenu.

URL	https://campus-dev.cegepadistance.ca
Parameter	Cache-Control
Evidence	private, pre-check=0, post-check=0, max-age=0, no-transform
URL	https://campus-dev.cegepadistance.ca/login/index.php
Parameter	Cache-Control
Evidence	private, pre-check=0, post-check=0, max-age=0, no-transform
URL	https://campus-dev.cegepadistance.ca/login/forgot_password.php
Parameter	Cache-Control
Evidence	private, pre-check=0, post-check=0, max-age=0, no-transform
URL	https://campus-dev.cegepadistance.ca/theme/yui_combo.php?rollup/3.17.2/yui-moodlesimple.css
Parameter	Cache-Control
Evidence	public, max-age=31104000
URL	https://campus-dev.cegepadistance.ca/theme/yui_combo.php?rollup/3.17.2/yui-moodlesimple.css
Parameter	Pragma
URL	https://campus-dev.cegepadistance.ca/help.php?component=moodle&identifier=cookiesenabled&lang=fr
Parameter	Cache-Control
Evidence	private, pre-check=0, post-check=0, max-age=0, no-transform
URL	https://campus-dev.cegepadistance.ca/theme/image.php/cegep/core/1473348993/help
Parameter	Cache-Control
Evidence	public, max-age=5184000, no-transform
URL	https://campus-dev.cegepadistance.ca/theme/image.php/cegep/core/1473348993/help
Parameter	Pragma
Instances	8
Solution	Chaque fois que possible, assurez-vous que l'en-tête HTTP cache-control est renseignée à no-cache, no-store, must-revalidate, private; et que l’en-tête pragma HTTP est renseignée à no-cache.
Reference	https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Web_Content_Caching
CWE Id	525
WASC Id	13

Low (Medium)	Protection XSS du navigateur Internet non activée
Description	La protection XSS du navigateur Internet n'est pas activée, ou est désactivée par la configuration de l'en-tête de réponse HTTP 'X-XSS-Protection' sur le serveur web

URL	https://campus-dev.cegepadistance.ca
Parameter	X-XSS-Protection
URL	https://campus-dev.cegepadistance.ca/robots.txt
Parameter	X-XSS-Protection
URL	https://campus-dev.cegepadistance.ca/sitemap.xml
Parameter	X-XSS-Protection
URL	https://campus-dev.cegepadistance.ca/login/index.php
Parameter	X-XSS-Protection
URL	https://campus-dev.cegepadistance.ca/login/forgot_password.php
Parameter	X-XSS-Protection
URL	https://campus-dev.cegepadistance.ca/help.php?component=moodle&identifier=cookiesenabled&lang=fr
Parameter	X-XSS-Protection
Instances	6
Solution	Assurez-vous que le filtre XSS du navigateur internet est activé, en renseignant l'en-tête de réponse HTTP X-XSS-Protection à '1'.
Other information	L'en-tête de réponse HTTP X-XSS-Protection autorise le serveur internet à activer ou désactiver le mécanisme de protection XSS du navigateur internet. Les valeurs suivantes tenteraient d'activer la protection: X-XSS-Protection: 1; mode = block X-XSS-Protection: 1; report = http://www.example.com/xss Les valeurs suivantes désactiveraient cette protection: X-XSS-Protection: 0 L'en-tête de réponse HTTP X-XSS-Protection est actuellement supportée par Internet Explorer, Chrome et Safari (WebKit). Notez que cette alerte n'est déclenchée que si le corps de réponse pouvaient contenir une charge utile XSS (avec un type de contenu texte, d'une longueur différente de zéro).

Reference	https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/
CWE Id	933
WASC Id	14

Low (Medium)	Saisie semi-automatique du mot de passe dans le navigateur
Description	The AUTOCOMPLETE attribute is not disabled on an HTML FORM/INPUT element containing password type input. Passwords may be stored in browsers and retrieved.

URL	https://campus-dev.cegepadistance.ca
Parameter	password
Evidence	<input type="password" name="password" id="password" size="15" value="" />
URL	https://campus-dev.cegepadistance.ca/login/index.php
Parameter	password
Evidence	<input type="password" name="password" id="password" size="15" value="" />
Instances	2
Solution	Turn off the AUTOCOMPLETE attribute in forms or individual input elements containing password inputs by using AUTOCOMPLETE='OFF'.
Reference	http://www.w3schools.com/tags/att_input_autocomplete.asp https://msdn.microsoft.com/en-us/library/ms533486%28v=vs.85%29.aspx
CWE Id	525
WASC Id	15

Low (Medium)	En-tête X-Content-Type-Options manquant
Description	L'en-tête X-Content-Type-Options contre le sniffing MIME n'est pas renseigné à 'nosniff'. Ceci permet à de vielles versions d'Internet Explorer et de Chrome de pratiquer le sniffing MIME sur le corps de réponse, conduisant potentiellement à l'interprétation et l'affichage du contenu dans un autre type que celui déclaré. A l'heure actuelle (début 2014), les anciennes versions de Firefox utiliseront le type de contenu déclaré (au cas où un type est déterminé), plutôt qu'analyser le MIME.

URL	https://campus-dev.cegepadistance.ca
Parameter	X-Content-Type-Options
URL	https://campus-dev.cegepadistance.ca/login/index.php
Parameter	X-Content-Type-Options
URL	https://campus-dev.cegepadistance.ca/login/forgot_password.php
Parameter	X-Content-Type-Options
URL	https://campus-dev.cegepadistance.ca/theme/yui_combo.php?rollup/3.17.2/yui-moodlesimple.css
Parameter	X-Content-Type-Options
URL	https://campus-dev.cegepadistance.ca/help.php?component=moodle&identifier=cookiesenabled&lang=fr
Parameter	X-Content-Type-Options
URL	https://campus-dev.cegepadistance.ca/lib/javascript.php/1473348993/lib/javascript-static.js
Parameter	X-Content-Type-Options
URL	https://campus-dev.cegepadistance.ca/theme/javascript.php/cegep/1473348993/head
Parameter	X-Content-Type-Options
URL	https://campus-dev.cegepadistance.ca/theme/javascript.php/cegep/1473348993/footer
Parameter	X-Content-Type-Options
URL	https://campus-dev.cegepadistance.ca/theme/image.php/cegep/core/1473348993/help
Parameter	X-Content-Type-Options
Instances	9
Solution	Assurez-vous que l'application ou le serveur internet renseigne l'en-tête Content-Type correctement, et que l'en-tête X-Content-Type-Options prenne la valeur 'nosniff' pour toutes les pages internet. Si possible, assurez-vous que l'utilisateur utilise un navigateur moderne et conforme aux standards, qui ne pratique pas du tout le sniffing MIME, ou qui puisse être commandé par l'application ou le serveur internet de manière à ne pas pratiquer le sniffing MIME.
Other information	Ce problème s'applique toujours aux pages de type erreur (401, 403, 500, etc.), car ces pages sont encore souvent touchées par des problèmes d'injection, auquel cas il est encore possible que les navigateurs interprétent des pages autrement que selon leur type de contenu réel.

Reference	http://msdn.microsoft.com/en-us/library/ie/gg622941%28v=vs.85%29.aspx https://www.owasp.org/index.php/List_of_useful_HTTP_headers
CWE Id	16
WASC Id	15