OWASP |ZAP |SQL-инъекция |Отчет о сканировании

Question

Когда SQL-инъекция выполняется через FUZZ вместе со встроенной полезной нагрузкой.Результат сканирования показывает несколько столбцов вдоль кода, причины, состояния и полезных нагрузок.

Как проанализировать эти столбцы (код, причина, состояние и полезные нагрузки) для опубликованного запроса

Answer 1

Любое нечеткое действие требует ручного просмотра и подтверждения со стороны пользователя.Без гораздо более подробной информации о приложении, функциональности и выходных данных мы не сможем рассказать вам, как анализировать результаты фаззера.

По сути, вам придется просматривать результаты фаззинга в отличие от оригинала (хорошо известно) запрос / ответ.

Вот некоторые ресурсы, которые могут вам помочь:

• https://www.owasp.org/index.php/SQL_Injection
• https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)
• https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md

Если вы не уверены, как работает HTTP-связь, различные методы атаки и т. Д., То лучше всего (с разных точек зрения: время, бюджет / стоимость, эффективность, здравомыслие и т. Д.)нанять команду безопасности или поручить проведение оценки третьему лицу.