Owasp: User Agent Fuzzerとは

https://www.zaproxy.org/docs/alerts/10104/

https://spekiyoblog.com/zap-10104/#toc5

Check for differences in response based on fuzzed User Agent (eg. mobile sites, access as a Search Engine Crawler).
ファジー化されたユーザー エージェント (例: モバイル サイト、検索エンジン クローラーとしてのアクセス) に基づいて応答の違いを確認します。

そもそもFuzzerってどういう意味？
https://wa3.i-3-i.info/word13074.html

Fuzzの元の意味としては毛羽立たせるとか曖昧にする、とか。
Fuzzingになった場合、プログラミングの文脈で異常データを自動で大量にぶちこむことを意味してるっぽい。

この文脈で考えると、

fuzzed User Agent (eg. mobile sites, access as a Search Engine Crawler).

は「適当に大量に設定したユーザーエージェント」みたいなニュアンスで捉えられそう。

実際何が問題なのかというと、問題というよりは気になった情報を提供する意図として、
「エージェントによってレスポンス変わってたよ。大丈夫？一応伝えておくね。」
みたいな感じだと理解。

実装コード的にも、オリジナルのレスポンスとの結果が違ったときにそれをアラートとして出しているだけの模様。

https://github.com/zaproxy/zap-extensions/blob/main/addOns/ascanrules/src/main/java/org/zaproxy/zap/extension/ascanrules/UserAgentScanRule.java

User Agent Fuzzerが発生したときに考えられること

• たまたまエラーなどでレスポンスが変わったパターン
• タイムスタンプなどが含まれていて、レスポンスが常に変わるパターン
• 実際にUser Gatentで悪さができているパターン

最終的にはどのようなリクエストに対してどのようなレスポンスが返ってきたのかを確認して問題ないか判断することが必要