Получение знака обхода пути в Zap OWASP, но параметры полностью верны

Question

Тест проникновения с использованием OWASP Zap - это поиск уязвимостей Path Traversal, но либо отчет не сообщает мне всю историю, либо они кажутся совершенно безопасный для меня. Например:

URL: http://[xxxx]/News/GetContactsList/2 

Parameter: Id 

Attack: 2 

«2» - это идентификатор вызывающего объекта, который требуется нашей системой. Очевидно, что тот же вид используется во многих местах, но это единственный раз, когда Жап жалуется. Он находит несколько примеров, как правило, заменяя 2 на другое целое число или передавая вполне допустимую строку в другом параметре «PressContacts».

В MVC они привязаны к ints и списку ints, поэтому, насколько я могу судить, они дезинфицированы.

Как я могу либо выяснить, в чем проблема, или сказать Zap, что он лает по неправильному дереву? У нас есть разные действия MVC, которые отвечают на GET и POST, и в отчете не ясно, какой из них он наносит.

Извинения заранее, если я упускаю что-то действительно очевидное. Это мой первый раз, когда я использовал Zap, поэтому, возможно, я совсем что-то понял.

Answer 1

Это на самом деле очень распространенная форма атаки, и ZAP прав. Целочисленный ID в URL-адресе легко изменить и легко угадать, потому что это скорее всего последовательный автоматически сгенерированный номер.

Предположим, пользователь A имеет разрешение на доступ к диапазону идентификаторов от 1 до 100, а пользователь B имеет доступ к диапазону идентификаторов от 1 до 500. Пользователь A может войти и просто изменить идентификатор от 100 до 300 и получить доступ к записи, которую он не предполагал видеть.

Решение состоит в использовании уникального идентификатора, который НЕ является последовательным и НЕ легко угадать. Наиболее распространенным подходом является использование идентификатора GUID вместо идентификатора в URL-адресе.