mar*_*c_s 5 c# false-positive owasp asp.net-4.5 zap
我们的客户要求我们针对我们的 Web 应用程序(ASP.NET 4.5.2、Webforms)运行 OWASP ZAP 工具,我们无法在报告中找到任何高优先级的发现。
我们已经完成了分析,OWASP ZAP 报告了两个最有可能是“误报”的漏洞:
远程操作系统命令执行似乎是假的,因为我们没有在任何地方执行任何操作系统命令——那么攻击者怎么能得到我们的代码在远程机器上执行他的命令呢?
而且 SQL 注入看起来非常虚假,因为我们到处都使用实体框架,它使用正确参数化的查询,这是针对任何 SQL 注入的黄金标准......
其他人是否对 OWASP ZAP 有过这种“误报”?是否有任何“已知问题”记录在任何地方,我们可以用来证明该工具是错误的——而不是我们的代码?
我不知道有任何没有误报的自动扫描仪(尽管有一些营销声明;)所以我总是建议手动验证任何发现。
如果您能给我们提供更多详细信息会有所帮助 - ZAP 应该为您提供更多信息,而不仅仅是漏洞名称。一种可能性是它们是定时攻击,并且您的服务器由于扫描而运行缓慢。我肯定已经看过很多次了。在 ZAP 的每周版本中,您实际上可以增加使用的计时值(默认为 5 秒)——这有助于减少或消除此类误报。
如果您确实在 ZAP 扫描中发现误报,请通过问题或开发组报告它们-如果您不告诉我们有关它们的信息,则我们无法修复它们:)
西蒙(ZAP 项目负责人)
| 归档时间: |
|
| 查看次数: |
4407 次 |
| 最近记录: |