使用 OWASP ZAP 检测到 Wordpress SQL 注入

Posted 2023-02-19

【中文标题】使用 OWASP ZAP 检测到 Wordpress SQL 注入

【英文标题】：Wordpress SQL injection detected with OWASP ZAP

【发布时间】：2018-12-20 19:28:57

【问题描述】：

我刚刚使用 OWASP ZAP 扫描我的页面并检测到一些漏洞，这表明我的页面不具备 SQL 注入抗性。 OWASP ZAP 显示通过访问闲置 URL

/about/?query=query+AND+1%3D1+--+

注射是可能的。这是一个基本的 Wordpress 页面，我在其中显示关于我自己的信息，甚至没有我将用来自己与数据库交互的输入字段。在这种情况下，我怎样才能摆脱注射？这甚至可能吗，或者它只是 Wordpress 核心内部的一些缺陷？

【参考方案1】：

首先检查它是否是一个真正的漏洞。像所有类似的工具一样，ZAP 可以报告一些误报。查看警报的详细信息，然后尝试看看您是否可以确认它是一个真正的问题。