我的QA团队向我报告说,我们的应用程序可以使用SQL注入受到攻击。但是,我们的任何查询都是动态创建的,我们使用一个 API 来执行类似于 Hibernate 的查询,并且我们总是在执行查询之前准备语句,并且我们不使用存储过程。QA 团队正在使用 ZAP 扫描应用程序。那么,我需要做些什么来避免 ZAP SQL 注入警报?
所有自动扫描程序都可以报告误报。有人需要评估报告的问题是误报还是实际问题。
如果它们是误报,则可以:
- 将特定规则的阈值更改为高
- 将阈值更改为"关",使其不运行
- 创建上下文警报筛选器以自动将其更改为误报
还请提出 ZAP 问题,以便我们查看是否可以修复代码,以便不报告误报。
西蒙(ZAP项目负责人)