Web应用程序漏洞

Question

我的VM扫描器已通过经过身份验证的扫描检测到以下漏洞，请参阅下面。

这是一个由BIGSQL (Dev & Ops )提供的web应用程序。使用此应用程序安全吗?还是可以在没有凭据的情况下利用这些漏洞？如果有人设法获得未经授权的访问web应用程序，那么我可以想象，这些漏洞将是我最不关心的。

Answer 1

任何自动扫描的结果都应该通过手动测试来确认或拒绝结果。

此外，由于不知道您的应用程序到底做了什么，很难确定其中一些漏洞会产生什么影响，但通常我不允许应用程序使用扫描中检测到的一些问题，例如XSS、CSRF和Cookie标志。

您必须确定您的应用程序做什么、它使用的数据以及可以通过它执行的操作，然后了解漏洞以及这些漏洞如何影响您的用户和数据。

我不会仅仅因为在经过身份验证的扫描中发现漏洞就排除该漏洞，特别是如果任何人都可以通过应用程序注册/注册。你肯定想要有多层防御。

我建议做一些手动测试来确认这些，如果它们被确认了