我们的客户要求我们针对我们的Web应用程序(ASP.NET 4.5.2,Webforms)运行OWASP ZAP工具,我们在报告中不能有任何高优先级的发现.
我们已经完成了分析,OWASP ZAP报告了两个漏洞,这两个漏洞最有可能是“误报”:
>远程OS命令执行
> SQL注入
远程OS命令执行似乎是假的,因为我们没有在任何地方执行任何操作系统命令 – 那么任何攻击者如何让我们的代码在远程机器上执行他的命令?
SQL注入看起来非常虚伪,因为我们在任何地方使用Entity Framework都使用了正确的参数化查询,这些查询是针对任何SQL注入的黄金标准….
有没有其他人在OWASP ZAP中遇到过这类“误报”?是否有任何“已知问题”记录在我们用来证明该工具错误的地方 – 而不是我们的代码?
解决方法:
我不知道任何自动扫描仪是免费的假阳性(尽管有一些营销声明;)所以我总是建议手动验证任何发现.
如果您可以提供更多详细信息,这将有所帮助 – ZAP应该为您提供比漏洞名称更多的信息.一种可能性是它们是定时攻击,并且由于扫描,您的服务器运行缓慢.我肯定见过很多次了.在每周版本的ZAP中,您实际上可以增加使用的时间值(默认为5秒) – 这可以帮助减少或消除此类误报.
如果您在ZAP扫描中发现误报,请通过issues或Dev Group报告 – 如果您不告诉我们他们,那么我们无法解决它们:)
西蒙(ZAP项目负责人)