Unser Kunde verlangt von uns, dass wir das OWASP ZAP-Tool mit unserer Webanwendung (ASP.NET 4.5.2, Webforms) ausführen, und wir können keine Ergebnisse mit hoher Priorität im Bericht haben.OWASP ZAP - wie man falsch positive Ergebnisse "prüft"?
Wir haben die Analyse durchgeführt, und OWASP ZAP meldet zwei Schwachstellen, die beide am ehesten "False Positives":
- Remote-OS Befehlsausführung
- SQL-Injection-
Der Remote Die OS-Befehlsausführung scheint falsch zu sein, weil wir beliebige OS-Befehle nirgends ausführen - wie also könnten Angreifer unseren Code erhalten, um seinen Befehl auf einem entfernten Rechner auszuführen?
Und die SQL-Injection scheint äußerst gefälschte da wir Entity Framework verwenden überall, die richtig Abfragen, die die Goldstandard gegen jede SQL-Injection sind parametrisiert verwendet ....
Haben andere Leute diese hatten Arten von "falsch positiven" mit OWASP ZAP? Gibt es irgendwelche "bekannten Probleme", die irgendwo dokumentiert sind, die wir verwenden könnten, um zu beweisen, dass das Werkzeug falsch ist - nicht unser Code?
Auch mit EF können Sie immer noch beliebige Abfragen ausführen und Ergebnisse einfach materialisieren. Vor nicht allzu langer Zeit fand ich ein solches Problem in einer der inspizierten Apps. Stellen Sie sicher, dass zap gerade nicht etwas gefunden hat, von dem Sie nicht glauben, dass es in Ihrem eigenen Code enthalten ist. –
@WiktorZychla: Sie haben Recht - aber wir haben keine "beliebige SQL" in Ihrem EF-Code - das ist absolut sicher. –
Ich denke, Ihren Client sagen, dass Sie den Code überprüft, und Sie verwenden EF ohne benutzerdefinierten SQL-Code, so dass es nicht anfällig für SQLi ist, sollte ausreichen. Sie können ihnen vielleicht Teile des Quellcodes zeigen, wenn sie darauf bestehen, aber das sollte nicht notwendig sein, wenn Sie das oben schriftlich geben. OS Command Injection ist wahrscheinlich interessanter, es kann subtile Wege, die möglich ist, aber ZAP ist in der Tat produzieren viele falsche positive manchmal, so dass auch sehr leicht eins sein kann. –