0

我的 QA 团队报告说,我们的应用程序可以使用 SQL 注入攻击。但是,我们的任何查询都是动态创建的,我们使用 API 来执行类似于 Hibernate 的查询,并且我们总是在执行查询之前准备语句,并且我们不使用存储过程。QA 团队正在使用 ZAP 扫描应用程序。那么,我需要做些什么来避免 ZAP SQL 注入警报?

4

1 回答 1

2

所有自动扫描仪都可以报告误报。有人需要评估报告的问题是误报还是真实问题。

如果它们是误报,那么您可以:

还请提出 ZAP 问题,以便我们查看是否可以修复代码,以免报告误报。

西蒙(ZAP 项目负责人)

于 2016-05-28T13:47:49.240 回答