Тест на проникновение с использованием OWASP Zap обнаружил ряд «уязвимостей» Path Traversal, но либо отчет не рассказывает мне всю историю, либо они кажутся мне совершенно безопасными. Например:
URL: http://[xxxx]/News/GetContactsList/2
Parameter: Id
Attack: 2
«2» — это идентификатор вызывающего объекта, который требуется нашей системе. Подобные вещи, очевидно, используются во многих местах, но это единственный случай, когда Zap жалуется. Он находит несколько примеров, обычно заменяя 2 другим целым числом или передавая совершенно допустимую строку в другом параметре «PressContacts».
В MVC они привязаны к целым числам и списку целых чисел, поэтому, насколько я могу судить, очищены.
Как я могу точно узнать, в чем проблема, или сказать Zap, что он лает не на то дерево? У нас есть разные действия MVC, которые реагируют на GET и POST, и в отчете не ясно, какое из них выполняется.
Заранее извиняюсь, если я упустил что-то действительно очевидное. Это мой первый раз, когда я использую Zap, поэтому, возможно, я просто что-то неправильно понял.