Inyección de SQL falsa positiva por ZAP con la adición de una nueva consulta de parámetros

3

Tengo una aplicación web Spring MVC y estoy ejecutando ZAP Active scan en ella.

Noté que ZAP modificará la URL y agregará un parámetro adicional llamado query y valor query+AND+1%3D1+--+ para probar la inyección de SQL. Y en mi caso, eleva la inyección de SQL ALTO MEDIO.

La aplicación ni siquiera está leyendo el parámetro query y, por lo tanto, estoy seguro de que la respuesta es siempre la misma, con o sin este parámetro. Así que mi pregunta es

¿Cuál es la lógica detrás de la prueba de inyección de SQL al agregar un parámetro que la aplicación no lee y al activarlo como alerta de inyección de SQL? Podría entender cuándo se cambia el valor de un parámetro que se lee en la aplicación pero no esto. Esto ha generado falsa inyección de SQL positiva en las aplicaciones web en las que trabajo.

Esto está relacionado con una pregunta que hice en Stackoverflow pero aún no he encontrado una solución. enlace

Espero escuchar algo en el foro de seguridad.

    
pregunta Hima 17.08.2018 - 12:49
fuente

1 respuesta

0

ZAP está marcando un posible ataque de inyección SQL; no tiene ninguna forma de saber que esto no es una consulta legítima, por lo que lo marca para que lo examine y verifique manualmente. Ese es prácticamente el punto de ejecutarlo.

Ocurrió algo similar en uno de mis propios proyectos de Spring: marcó una posible debilidad de inyección en una ruta que no estaba en uso, y el acceso a esa ruta simplemente me devolvió HTTP 404. Ese proyecto tenía la intención de enseñarme algo básico escaneo de vulnerabilidades, así que lo documenté como tal.

    
respondido por el Philip Rowlands 17.08.2018 - 13:03
fuente

Lea otras preguntas en las etiquetas