IBM Security Appscan returns MongoDB SignalR 连接上的 NoSQL 注入
IBM Security Appscan returns MongoDB NoSQL Injection on SignalR connection
我创建了一个 signalR 站点,用于显示从我们的 Intranet 收集的服务器数据。一切正常,没有问题。
页面上没有用户输入。它本质上是一个仪表板。
我用谷歌搜索,直接搜索了 IBM 的网站并在 jabbR 中询问...但没有结果说明为什么会发生这种情况。我了解有关注入的关键信息...但是没有用户输入可注入,这是 SignalR 的连接建立。
有什么想法吗?可能是误报?
IBM Security Appscan 报告:
HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Transfer-Encoding: chunked
Content-Type: application/json; charset=UTF-8
Expires: -1
Server: Microsoft-IIS/8.5
X-Content-Type-Options: nosniff
X-AspNet-Version: 4.0.30319
Persistent-Auth: true
X-Powered-By: ASP.NET
Date: Thu, 21 Apr 2016 20:18:46 GMT
{
"Url": "/signalr",
"ConnectionToken": "0l6V6C/DRJsZ3dOFpL+UO+hpOt5NtkBiGLREN9L5no6/hD1a6ZYTdQJRX8bWG0nJfM+4aRRHvfoeTD9b2tjEf84aX+/ANWsnBe8QKupoTkguzE2P3G3zifuEH2lDMOlr7fCiQYbBUvi20Mb4bLlngw==",
"ConnectionId": "fce58409-d505-4534-a318-01b90e333c57",
"KeepAliveTimeout": 20.0,
"DisconnectTimeout": 30.0,
"ConnectionTimeout": 110.0,
...
AppScan 发送了三个请求:Error、True 和 False。所有三个响应都各不相同,这暗示 MongoDB 注入成功。
尝试使用 appscan 本身重新测试特定漏洞。大多数时候,应用程序会在 blindSQL 注入和 MongoDB NoSQL 注入方面显示误报结果。
如果您使用的是 appscan 标准:右键单击特定漏洞并点击重新测试。
我创建了一个 signalR 站点,用于显示从我们的 Intranet 收集的服务器数据。一切正常,没有问题。
页面上没有用户输入。它本质上是一个仪表板。
我用谷歌搜索,直接搜索了 IBM 的网站并在 jabbR 中询问...但没有结果说明为什么会发生这种情况。我了解有关注入的关键信息...但是没有用户输入可注入,这是 SignalR 的连接建立。
有什么想法吗?可能是误报?
IBM Security Appscan 报告:
HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Transfer-Encoding: chunked
Content-Type: application/json; charset=UTF-8
Expires: -1
Server: Microsoft-IIS/8.5
X-Content-Type-Options: nosniff
X-AspNet-Version: 4.0.30319
Persistent-Auth: true
X-Powered-By: ASP.NET
Date: Thu, 21 Apr 2016 20:18:46 GMT
{
"Url": "/signalr",
"ConnectionToken": "0l6V6C/DRJsZ3dOFpL+UO+hpOt5NtkBiGLREN9L5no6/hD1a6ZYTdQJRX8bWG0nJfM+4aRRHvfoeTD9b2tjEf84aX+/ANWsnBe8QKupoTkguzE2P3G3zifuEH2lDMOlr7fCiQYbBUvi20Mb4bLlngw==",
"ConnectionId": "fce58409-d505-4534-a318-01b90e333c57",
"KeepAliveTimeout": 20.0,
"DisconnectTimeout": 30.0,
"ConnectionTimeout": 110.0,
...
AppScan 发送了三个请求:Error、True 和 False。所有三个响应都各不相同,这暗示 MongoDB 注入成功。
尝试使用 appscan 本身重新测试特定漏洞。大多数时候,应用程序会在 blindSQL 注入和 MongoDB NoSQL 注入方面显示误报结果。
如果您使用的是 appscan 标准:右键单击特定漏洞并点击重新测试。