2. 질의 응답
  3. 어떻게 푸른 저장 장치로 다음과 같은 보안 항목을 처리 할

어떻게 푸른 저장 장치로 다음과 같은 보안 항목을 처리 할

2016-10-07 2 views
0

사람이 어떻게 ZAP을 통해 스캔 푸른 BLOB 저장소와 함께 제공되는 다음과 같은 보안 문제를 해결하는 실마리가 있습니까 :어떻게 푸른 저장 장치로 다음과 같은 보안 항목을 처리 할

  1. 원격 OS 명령 인젝션 : https://<xxx>.blob.core.windows.net/00d36000000tnwaeaa/06836000000kUsRAAU?sv=2014-02-14&sr=b&sig=<yyy>%3D&se=2016-10-07T07%3A25%3A13Z&sp=rw%3Bstart-sleep+-s+5를 .

    Azure에는 'sp'매개 변수가 필요하지만 위와 같이 OS 명령을 삽입하면 하이재킹 될 수 있습니다. Azure에서이 문제를 해결할 방법이 있습니까? 아무 것도 찾지 못했습니다.

    2. 푸른 블랍 서버에 다음과 같은 설정하는 방법은 무엇

  2. - 웹 브라우저 XSS 보호는

를 사용하지 불완전한 X-프레임 - 옵션 헤더하지 세트, 또는 아니오 캐시 제어 및에서 Pragma HTTP 헤더 세트

Azure 웹 서비스가 위의 ZAP 스캔에 실패하면 도와주세요.

출처

2016-10-07 Vinay Maladkar

+0

SAS URL은 읽기 (쓰기), 쓰기 (쓰기), 삭제 (목록), 추가 (a), 만들기 (c), 업데이트 (u) 피). [이 기사] (https://msdn.microsoft.com/en-us/library/azure/mt584140.aspx)에서 자세한 내용을 확인하십시오. 다른 매개 변수가 작동한다고 생각하지 않습니다. –

답변

0

# 1의 경우 SAS의 구성 요소에 대한 매개 변수를 수정하는 것은 서명 (sig = param)을 생성하는 데 사용되며 서비스에서 유효성 검사가 수행되므로 매개 변수를 수정할 수 없습니다. 원래 서명을 생성하는 데 사용 된 값과 일치하지 않으면 요청이 거부됩니다.

# 2의 경우 Azure 저장소는 반환 된 헤더를 수정할 수 없지만 CORS를 구성 할 수는 있습니다. https://msdn.microsoft.com/en-us/library/azure/hh452235.aspx

출처

2016-10-11 00:10:42

0

# 1 인 경우 인증 요청 코드는 AuthenticationFailed 코드와 함께 실패합니다. 유효한 주사 문제가 아닙니다.

출처

2016-10-18 21:18:58

 관련 문제

  • 관련 문제 없음^_^