即使网站索引页只是一个静态HTML页面,并没有数据库连接到应用程序,为什么IBM Rational AppScan Standard还是会针对此页报告“SQL 注入文件写入 (需要用户验证)”安全问题?
“SQL 注入文件写入”并不是一个真正的测试,而更像是一个指示用户查看的“信标”。 缺省情况下此测试策略是禁用的,一旦开启,Rational AppScan Standard始终会报告此问题。实际的SQL注入文件写入测试是在开启测试策略“SQL 注入命令执行”下的以下任何或者两者变体时发送的:向原始参数值中附加以下字符串: ‘; exec master..xp_cmdshell ‘echo [param name] in [path] is vulnerable >> C:\AppScanSQLTest.txt--(SQL 注入探测)和/或向原始参数值中附加以下字符串: exec master..xp_cmdshell ‘echo [param name] in [path] is vulnerable >> C:\AppScanSQLTest.txt--(SQL 注入探测) http://test.test.com/search.html?keyword=“’ exec master..xp_cmdshell ‘echo some text >> C:File.txt’ –”
仅仅开启测试策略“SQL 注入文件写入 (需要用户验证)”实际上并不会发送测试,它更多的是一种提醒,提醒您如果开启了以上“SQL 注入命令执行”中的任何或者两者变量(发送有效载荷“xp_cmdshell”),就需要检查服务器端文件系统中是否存在生成的文本文件。
如果在工具>选项>扫描选项中开启了启用请求/响应记录,您可以在AppScanTraffic.log(位于Rational AppScan安装路径\Logs)中搜索“xp_cmdshell”,并且查看此有效载荷是针对应用程序中所有参数执行的。 因为没有办法自动验证针对某一给定参数的测试是否成功(如果测试成功,服务器端的文件系统中将会生成一个文本文件,此文件包含所有允许注入的参数。),所以决定在安全问题视图中提醒“SQL 注入文件写入”而并不列出所有脆弱参数。
共有条评论 网友评论