0
Ich wurde von meinem QA-Team berichtet, dass unsere Anwendung mit SQL Injection angegriffen werden kann. Jede unserer Abfragen wird jedoch dynamisch erstellt. Wir verwenden eine API für ähnliche Abfragen wie Hibernate. Wir bereiten die Anweisungen immer vor der Ausführung der Abfragen vor und verwenden keine gespeicherten Prozeduren. Das QA-Team verwendet ZAP zum Scannen der Anwendung. Also, was muss ich tun, um ZAP SQL Injection Alerts zu vermeiden?Wie kann ich ZAP SQL Injection Alerts vermeiden, wenn meine Anwendung bereits gegen diesen Angriff gesichert ist?
ich nicht speziell über das Deaktivieren ZAP SQL-Injection-Benachrichtigung beantworten kann, obwohl die Dokumentation scheint darauf hinzudeuten, dass Sie so tun würde, durch diese Tests über die entsprechende Scanrichtlinie zu deaktivieren. Ich schlage jedoch vor, dass Sie Ihr QA-Team auf Einzelheiten der SQL-Injection-Sicherheitslücken drängen, die ZAP in Form von testbaren Fällen meldet, um durch * testing * und nicht durch Argumentation und Überzeugung zu verifizieren, dass Warnungen sind falsch positive. –