OWASP ZAP - 如何 "prove" 误报?
OWASP ZAP - how to "prove" false positives?
我们的客户要求我们 运行 针对我们的 Web 应用程序(ASP.NET 4.5.2,Webforms)使用 OWASP ZAP 工具,我们不能在报告中找到任何高优先级的发现。
我们已经完成分析,OWASP ZAP 报告了两个最有可能的漏洞 "false positives":
- 远程OS命令执行
- SQL注入
远程 OS 命令执行似乎是伪造的,因为我们没有在任何地方执行 any OS 命令 - 那么任何攻击者如何获得我们的代码在远程机器上执行他的命令?
并且 SQL 注入看起来非常虚假,因为我们正在使用 Entity Framework everywhere,它使用正确的参数化查询,即 黄金标准 反对任何SQL 注射....
其他人有过这种 "false positives" 的 OWASP ZAP 吗?是否有任何 "known issues" 文档可以用来证明 工具 是错误的 - 而不是我们的代码?
我们的客户要求我们 运行 针对我们的 Web 应用程序(ASP.NET 4.5.2,Webforms)使用 OWASP ZAP 工具,我们不能在报告中找到任何高优先级的发现。
我们已经完成分析,OWASP ZAP 报告了两个最有可能的漏洞 "false positives":
- 远程OS命令执行
- SQL注入
远程 OS 命令执行似乎是伪造的,因为我们没有在任何地方执行 any OS 命令 - 那么任何攻击者如何获得我们的代码在远程机器上执行他的命令?
并且 SQL 注入看起来非常虚假,因为我们正在使用 Entity Framework everywhere,它使用正确的参数化查询,即 黄金标准 反对任何SQL 注射....
其他人有过这种 "false positives" 的 OWASP ZAP 吗?是否有任何 "known issues" 文档可以用来证明 工具 是错误的 - 而不是我们的代码?