1

サイトの自動テストに zaproxy を使用しています。スキャン レポートに P1 アラートがあります。このエラーを修正する方法がわかりません。誰かが私を助けてくれますか:-

https://example.com/index.php?id=1535&source=home&storyId=468&r=video%2Fview%22%26timeout+%2FT+5%26%22&mode=current

    Parameter

r

    Attack

video/view"&timeout /T 5&"
4

2 に答える 2

2

OK、これはタイミング攻撃です。サーバーに負荷がかかっている場合、これらは誤検知になりがちです。

ZAP などのスキャン ツールによって報告された潜在的な脆弱性は、常に手動で検証する必要があります。

この場合、ブラウザで参照されている URL を開きます。読み込みに約 5 秒かかりましたか? 次に、URL の「5」を「30」など、もっと大きなものに変更します。これで 30 秒かかりましたか?

ほぼ同じ長さの時間がかかった場合、これは誤検知である可能性があります。

于 2016-02-09T12:21:29.120 に答える