1

是否有人知道如何解决通过 ZAP 扫描 Azure blob 存储所带来的以下安全问题:

  1. 远程操作系统命令注入: https://<xxx>.blob.core.windows.net/00d36000000tnwaeaa/06836000000kUsRAAU?sv=2014-02-14&sr=b&sig=<yyy>%3D&se=2016-10-07T07%3A25%3A13Z&sp=rw%3Bstart-sleep+-s+5.

    Azure 需要“sp”参数,但是可以通过插入 OS 命令来劫持,如上所示。有没有办法在 Azure 中解决这个问题。我还没有找到。

  2. 使用 Azure blob 服务器设置以下内容的方法是什么 - X-Frame-Options 标头未设置、不完整或没有缓存控制和 Pragma HTTP 标头设置、未启用 Web 浏览器 XSS 保护

请帮助我,因为我的 Azure Web 服务未能通过上述 ZAP 扫描。

4

1 回答 1

0

对于 #1,无法修改 SAS 组件的参数,因为它们用于生成签名 (sig= param),然后在服务中进行验证。如果它们与用于生成原始签名的值不匹配,则请求被拒绝。

对于 #2,Azure 存储不允许修改返回的标头,但允许配置 CORS。请参阅https://msdn.microsoft.com/en-us/library/azure/hh452235.aspx

于 2016-10-11T00:10:42.160 回答