6

我们的客户要求我们针对我们的 Web 应用程序(ASP.NET 4.5.2、Webforms)运行 OWASP ZAP 工具,我们在报告中不能有任何高优先级的发现。

我们已经完成了分析,OWASP ZAP 报告了两个最有可能是“误报”的漏洞:

  • 远程操作系统命令执行
  • SQL注入

远程操作系统命令执行似乎是虚假的,因为我们没有在任何地方执行任何操作系统命令 - 那么任何攻击者如何获得我们的代码以在远程机器上执行他的命令?

而且 SQL 注入似乎非常虚假,因为我们在任何地方都使用实体框架,它使用正确的参数化查询,这是反对任何 SQL 注入的黄金标准......

其他人是否对 OWASP ZAP 有过这种“误报”?是否有任何“已知问题”记录在我们可以用来证明该工具错误的任何地方 - 而不是我们的代码?

4

1 回答 1

5

我不知道有任何自动扫描仪没有误报(尽管有一些营销声明;)所以我总是建议手动验证任何发现。

如果您可以向我们提供更多详细信息,将会有所帮助 - ZAP 应该为您提供更多信息,而不仅仅是漏洞名称。一种可能性是它们是定时攻击,并且您的服务器由于扫描而运行缓慢。我肯定见过很多次。在 ZAP 的每周版本中,您实际上可以增加使用的时间值(默认为 5 秒)——这有助于减少或消除此类误报。

如果您确实在 ZAP 扫描中发现误报,请通过问题开发组报告它们- 如果您不告诉我们,我们将无法修复它们 :)

西蒙(ZAP 项目负责人)

于 2016-11-21T16:49:12.163 回答