是否有人知道如何解决通过ZAP扫描Azure blob存储所带来的以下安全问题:
远程操作系统命令注入:
https://<xxx>.blob.core.windows.net/00d36000000tnwaeaa/06836000000kUsRAAU?sv=2014-02-14&sr=b&sig=<yyy>%3D&se=2016-10-07T07%3A25%3A13Z&sp=rw%3Bstart-sleep+-s+5。
Azure需要'sp'参数,但是如上所示,这可能会因插入OS命令而被劫持。有没有办法在Azure中解决这个问题。 我还没找到。
使用Azure blob服务器设置以下内容的方法是什么 - X-Frame-Options标头未设置,不完整或没有缓存控制和Pragma HTTP标头集,Web浏览器XSS保护未启用
请帮助我,因为我的Azure网络服务未通过上述ZAP扫描。
答案 0 :(得分:0)
对于#1,无法修改SAS组件的参数,因为它们用于生成签名(sig = param),然后在服务中进行验证。如果它们与用于生成原始签名的值不匹配,则拒绝该请求。
对于#2,Azure存储不允许修改返回的标头,但它确实允许配置CORS。见https://msdn.microsoft.com/en-us/library/azure/hh452235.aspx
答案 1 :(得分:0)
对于#1,您的请求失败并显示AuthenticationFailed代码。这不是一个有效的注射问题。