OWASP ZAP - 如何“证明”误报？

Question

我们的客户要求我们针对我们的Web应用程序（ASP.NET 4.5.2，Webforms）运行OWASP ZAP工具，我们在报告中不能有任何高优先级的发现。

我们已经完成了分析，OWASP ZAP报告了两个漏洞，这两个漏洞最有可能是“误报”：

• 远程OS命令执行
• SQL注入

远程操作系统命令执行似乎是假的，因为我们没有在任何地方执行任何操作系统命令 - 那么任何攻击者如何让我们的代码在远程机器上执行他的命令？

SQL注入似乎非常虚伪，因为我们正在使用实体框架到处，它使用正确的参数化查询，这是黄金标准对任何SQL注入....

让其他人在OWASP ZAP中遇到过这类“误报”吗？是否有任何“已知问题”记录在我们用来证明工具错误的地方 - 而不是我们的代码？

Answer 1

我不知道有任何虚假免费的自动扫描仪（尽管有一些营销声明;）所以我总是建议手动验证任何发现。

如果您能提供更多详细信息，这将有所帮助 - ZAP应该为您提供比漏洞名称更多的信息。一种可能性是它们是定时攻击，并且由于扫描，您的服务器运行缓慢。我肯定见过很多次了。在每周版本的ZAP中，您实际上可以增加使用的时间值（默认为5秒） - 这有助于减少或消除此类误报。

如果您在ZAP扫描中发现误报，请通过issues或Dev Group报告 - 如果您没有告诉我们这些，那么我们无法修复它们。）

Simon（ZAP项目负责人）