1. Zuhause
  2. Frage und Antwort
  3. OWASP ZAP - wie man falsch positive Ergebnisse "prüft"?

OWASP ZAP - wie man falsch positive Ergebnisse "prüft"?

2016-11-20 2 views
4

Unser Kunde verlangt von uns, dass wir das OWASP ZAP-Tool mit unserer Webanwendung (ASP.NET 4.5.2, Webforms) ausführen, und wir können keine Ergebnisse mit hoher Priorität im Bericht haben.OWASP ZAP - wie man falsch positive Ergebnisse "prüft"?

Wir haben die Analyse durchgeführt, und OWASP ZAP meldet zwei Schwachstellen, die beide am ehesten "False Positives":

  • Remote-OS Befehlsausführung
  • SQL-Injection-

Der Remote Die OS-Befehlsausführung scheint falsch zu sein, weil wir beliebige OS-Befehle nirgends ausführen - wie also könnten Angreifer unseren Code erhalten, um seinen Befehl auf einem entfernten Rechner auszuführen?

Und die SQL-Injection scheint äußerst gefälschte da wir Entity Framework verwenden überall, die richtig Abfragen, die die Goldstandard gegen jede SQL-Injection sind parametrisiert verwendet ....

Haben andere Leute diese hatten Arten von "falsch positiven" mit OWASP ZAP? Gibt es irgendwelche "bekannten Probleme", die irgendwo dokumentiert sind, die wir verwenden könnten, um zu beweisen, dass das Werkzeug falsch ist - nicht unser Code?

Quelle

2016-11-20 marc_s

+0

Auch mit EF können Sie immer noch beliebige Abfragen ausführen und Ergebnisse einfach materialisieren. Vor nicht allzu langer Zeit fand ich ein solches Problem in einer der inspizierten Apps. Stellen Sie sicher, dass zap gerade nicht etwas gefunden hat, von dem Sie nicht glauben, dass es in Ihrem eigenen Code enthalten ist. –

+0

@WiktorZychla: Sie haben Recht - aber wir haben keine "beliebige SQL" in Ihrem EF-Code - das ist absolut sicher. –

+0

Ich denke, Ihren Client sagen, dass Sie den Code überprüft, und Sie verwenden EF ohne benutzerdefinierten SQL-Code, so dass es nicht anfällig für SQLi ist, sollte ausreichen. Sie können ihnen vielleicht Teile des Quellcodes zeigen, wenn sie darauf bestehen, aber das sollte nicht notwendig sein, wenn Sie das oben schriftlich geben. OS Command Injection ist wahrscheinlich interessanter, es kann subtile Wege, die möglich ist, aber ZAP ist in der Tat produzieren viele falsche positive manchmal, so dass auch sehr leicht eins sein kann. –

Antwort

2

Mir ist kein automatischer Scanner bekannt, der falsch positiv ist (trotz einiger Marketing-Behauptungen;), also würde ich immer empfehlen, alle Ergebnisse manuell zu überprüfen.

Es würde helfen, wenn Sie uns weitere Details geben könnten - ZAP sollte Ihnen viel mehr Informationen geben als nur den Namen der Schwachstelle. Eine Möglichkeit ist, dass es sich um Timing-Angriffe handelt und Ihr Server aufgrund des Scans langsam läuft. Das habe ich schon oft gesehen. In den wöchentlichen Versionen von ZAP können Sie die verwendeten Zeitwerte (standardmäßig 5 Sekunden) erhöhen, um solche Fehlalarme zu reduzieren oder zu eliminieren.

Wenn Sie Fehlalarme in ZAP-Scans finden Sie dann bitte per issues oder die Dev Group berichten - wenn Sie sagen nicht, uns über sie dann kippen wir sie beheben :)

Simon (ZAP Project Lead)

Quelle

2016-11-21 16:49:12

+0

Klingt wie Zap ist voll von falsch positiven. Ich wurde gerade beauftragt, Anti-MIME-Sniffing und XSS-Schutz zu beheben, und ich weiß, dass beide Probleme durch die Einführung entsprechender Header behoben wurden, aber Zap zeigt immer noch die gleichen Sicherheitslücken. Die Antwort enthält anscheinend 'X-Content-Type-Options = nosniff 'und' X-XSS-Protection = 1; mode = block', aber Zap sucht immer noch nach etwas anderem. Klingt so, als ob es etwas Verbesserung braucht, bevor es als zuverlässig angesehen werden kann. – ajeh

+0

Also lassen Sie uns wissen, was die Probleme sind - wir können es ohne Feedback nicht verbessern. Und es ist durchaus möglich, dass Ihnen etwas fehlt, also lohnt es sich, mit uns in Kontakt zu treten (über Probleme oder die Dev-Gruppe wie oben) und dann können wir sie ansehen. –

+0

Lesen Sie oben, es ist alles da. Ich werde mich nicht in einem anderen Bugtracker registrieren. – ajeh

Verwandte Themen

 Verwandte Themen