Тест проникновения с использованием OWASP Zap - это поиск уязвимостей Path Traversal, но либо отчет не сообщает мне всю историю, либо они кажутся совершенно безопасный для меня. Например:Получение знака обхода пути в Zap OWASP, но параметры полностью верны
URL: http://[xxxx]/News/GetContactsList/2
Parameter: Id
Attack: 2
«2» - это идентификатор вызывающего объекта, который требуется нашей системой. Очевидно, что тот же вид используется во многих местах, но это единственный раз, когда Жап жалуется. Он находит несколько примеров, как правило, заменяя 2 на другое целое число или передавая вполне допустимую строку в другом параметре «PressContacts».
В MVC они привязаны к ints и списку ints, поэтому, насколько я могу судить, они дезинфицированы.
Как я могу либо выяснить, в чем проблема, или сказать Zap, что он лает по неправильному дереву? У нас есть разные действия MVC, которые отвечают на GET и POST, и в отчете не ясно, какой из них он наносит.
Извинения заранее, если я упускаю что-то действительно очевидное. Это мой первый раз, когда я использовал Zap, поэтому, возможно, я совсем что-то понял.
Это честный комментарий, но мы все-таки проверяем серверную сторону, так что это не проблема для нас и, похоже, не отражает сообщение, которое говорит Zap. Это не уязвимость «пути». –
Обычно эксперт по безопасности использует отчет, сгенерированный инструментами (например, ZAP), и пытается определить риски безопасности и поверхность атаки. Риск и поверхность атаки зависят от бизнеса и программного обеспечения, поэтому это должно быть сделано человеком. Если вы уверены, что в вашем приложении это нападение не вызывает беспокойства, вы можете смягчить и отметить его как низкий риск или отсутствие риска в своем отчете. Важно то, что вы знаете, и рассмотрели и рассмотрели риск. – Sparrow