4
고객은 우리 웹 응용 프로그램 (ASP.NET 4.5.2, Webforms)에 대해 OWASP ZAP 도구를 실행해야하며 보고서에서 우선 순위가 높은 결과를 얻을 수는 없습니다.OWASP ZAP - 가양 성을 "증명"하는 방법은 무엇입니까?
우리는 분석을 수행했으며, OWASP ZAP은 모두 "잘못된 반응"가능성이 가장 높은 두 가지 취약점보고 :
- 원격 OS 명령을 실행
- SQL 주입
원격을 우리는 OS 명령을 어디서나 실행하지 않기 때문에 OS 명령 실행이 가짜 인 것 같습니다. 그러면 공격자가 원격 시스템에서 명령을 실행하는 코드를 어떻게 얻을 수 있습니까?
우리가 제대로 모든 SQL 주입에 대한 금 표준있는 쿼리를 매개 변수화 사용합니다 사방 엔티티 프레임 워크 을 사용하고 있기 때문에 SQL 주입이 매우 가짜 보인다 ....
다른 사람이 있었나요 OWASP ZAP의 "오 탐지" 도구이 우리 코드가 아니라는 것을 증명하기 위해 사용할 수있는 "알려진 문제"가 있습니까?
을 EF를 사용하더라도 임의의 쿼리를 실행하고 결과를 구체화 할 수 있습니다. 그리 오래 전에 필자는 검사 된 앱 중 하나에서 그러한 문제를 발견했습니다. zap이 자신의 코드에서 가지고 있다고 믿지 않는 것을 발견하지 못했는지 확인하십시오. –
@WiktorZychla : 네 말이 맞아.하지만 우리는 EF 코드에 "임의의 SQL"을 가지고 있지 않다. 그건 절대적으로 확실하다. –
나는 클라이언트에게 코드를 검토했다는 것을 알려주고 사용자 지정 SQL 코드없이 EF를 사용하므로 SQLi에 취약하지 않으므로 충분하다고 생각합니다. 주장하는 경우 소스 코드의 일부를 표시 할 수 있지만 위의 내용을 서면으로 제공하면 필요하지 않습니다. OS 명령 주입은 아마도 더 흥미로울 것입니다. 가능한 미묘한 방법이있을 수 있지만, ZAP은 때로는 오탐 (false positive)을 많이 생성하기 때문에 너무 쉽게 될 수 있습니다. –