如果我的应用程序已经针对该攻击采取了保护措施,我该如何避免 ZAP SQL 注入警报?
How can I avoid ZAP SQL Injection alerts if my application is already secured against that attack?
我的 QA 团队报告说我们的应用程序可以使用 SQL 注入攻击。但是,我们的任何查询都是动态创建的,我们使用 API 来执行类似于 Hibernate 的查询,并且我们总是在执行查询之前准备语句,并且我们不使用存储过程。
QA 团队正在使用 ZAP 扫描应用程序。那么,我需要做什么来避免 ZAP SQL 注入警报?
所有自动扫描仪都可以报告误报。
需要有人评估报告的问题是误报还是真实问题。
如果它们是误报,那么您可以:
- 改变threshold for the specific rule to High
- 将阈值更改为关闭,这样它就不会 运行
- 创建 context alert filters 以自动将它们更改为误报
还请提出一个 ZAP 问题,以便我们查看是否可以修复代码,以免报告误报。
西蒙(ZAP 项目负责人)
我的 QA 团队报告说我们的应用程序可以使用 SQL 注入攻击。但是,我们的任何查询都是动态创建的,我们使用 API 来执行类似于 Hibernate 的查询,并且我们总是在执行查询之前准备语句,并且我们不使用存储过程。 QA 团队正在使用 ZAP 扫描应用程序。那么,我需要做什么来避免 ZAP SQL 注入警报?
所有自动扫描仪都可以报告误报。 需要有人评估报告的问题是误报还是真实问题。
如果它们是误报,那么您可以:
- 改变threshold for the specific rule to High
- 将阈值更改为关闭,这样它就不会 运行
- 创建 context alert filters 以自动将它们更改为误报
还请提出一个 ZAP 问题,以便我们查看是否可以修复代码,以免报告误报。
西蒙(ZAP 项目负责人)