如何解决URL 操作总是在流星中返回 200:OK - 在 OWASP-ZAP 中被标记为违规
我运行了 OWASP ZAP,该工具抛出了一个可能存在 sql 注入问题的高漏洞。尽管我们确信我们不会将任何 sql 数据库用作我们的应用程序堆栈的一部分,但我还是四处摸索并提出了一些问题。
检测到这个“漏洞”的payload如下:
https://demo.meteor.app/sockjs/info?cb=n6_udji55a+AND+7843%3D8180--+UFVTsdsds
在浏览器上运行这个,我得到一个响应:
{"websocket":true,"origins":["*:*"],"cookie_needed":false,"entropy":3440653497}
我可以继续对 cb=
部分之后的内容进行任何类型的操作,但仍然得到相同的响应。我相信这就是欺骗该工具将其标记为漏洞的原因 - 在其中注入了一个带有一些字符的 --
并且仍然设法获得了正确的响应。
如何确保将 URL 参数更改为不存在的内容,返回 404 或禁止消息?
同样,当我尝试为以下对象执行 GET(或简单的浏览器调用)时:
https://demo.meteor.app/packages/accounts-base.js?hash=13rhofnjarehwofnje
我得到了为 accounts-base.js 自动生成的 JS 文件。
如果我操作 hash=
值,我仍然会渲染相同的 accounts-base.js
文件。它不应该呈现 404 吗?如果不是,散列扮演什么角色?我觉得漏洞测试工具错误地标记了这种基于 URL 的操作,并确定应用程序存在一些漏洞。
总结我的问题:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。