我的 QA 团队向我报告,我们的应用程序可能会受到 SQL 注入(inject)攻击。然而,我们的任何查询都是动态创建的,我们使用 API 来执行类似于 Hibernate 的查询,并且我们始终在执行查询之前准备语句,并且不使用存储过程。 QA 团队正在使用 ZAP 扫描应用程序。那么,我需要做什么来避免 ZAP SQL 注入(inject)警报?
最佳答案
所有自动扫描仪都可能报告误报。 有人需要评估报告的问题是误报还是真实问题。
如果它们是误报,那么您可以:
- 更改 threshold for the specific rule to High
- 将阈值更改为“关闭”,使其不会运行
- 创建context alert filters自动将它们更改为误报
还请提出 ZAP 问题,以便我们看看是否可以修复代码,以免报告误报。
西蒙(ZAP 项目负责人)
关于java - 如果我的应用程序已针对该攻击做好了防护,如何避免 ZAP SQL 注入(inject)警报?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37492453/