IBM Security Appscan 在 SignalR 连接上返回 MongoDB NoSQL 注入

Posted

技术标签:

【中文标题】IBM Security Appscan 在 SignalR 连接上返回 MongoDB NoSQL 注入【英文标题】:IBM Security Appscan returns MongoDB NoSQL Injection on SignalR connection 【发布时间】:2016-08-22 08:55:27 【问题描述】:

我创建了一个 signalR 站点,用于显示从我们的 Intranet 收集的服务器数据。一切都相应地工作,没有问题。

页面上没有用户输入。它本质上是一个仪表板。

我已经用谷歌搜索,直接搜索了 IBM 的网站并在 jabbR 中询问...但没有任何结果说明为什么会发生这种情况。我了解有关注入的关键信息...但是没有用户输入要注入,这是 SignalR 的连接建立。

有什么想法吗?可能是假阳性?

IBM Security Appscan 报告反馈:

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Transfer-Encoding: chunked
Content-Type: application/json; charset=UTF-8
Expires: -1
Server: Microsoft-IIS/8.5
X-Content-Type-Options: nosniff
X-AspNet-Version: 4.0.30319
Persistent-Auth: true
X-Powered-By: ASP.NET
Date: Thu, 21 Apr 2016 20:18:46 GMT

"Url": "/signalr", "ConnectionToken": "0l6V6C/DRJsZ3dOFpL+UO+hpOt5NtkBiGLREN9L5no6/hD1a6ZYTdQJRX8bWG0nJfM+4aRRHvfoeTD9b2tjEf84aX+/ANWsnBe8QKupoTkguzE2P3G3zifuEH2lDMOlr7fCiQYbBUvi20Mb4bLlngw==", "ConnectionId": "fce58409-d505-4534-a318-01b90e333c57", "KeepAliveTimeout": 20.0, "DisconnectTimeout": 30.0, "ConnectionTimeout": 110.0, ...

AppScan 发送了三个请求:Error、True 和 False。三个响应都不一样,暗示MongoDB注入成功了。

【问题讨论】:

【参考方案1】:

尝试使用 appscan 本身重新测试特定漏洞。大多数情况下,appscan 在blindSQL 注入和MongoDB NoSQL 注入方面显示误报。

如果您使用的是 appscan 标准:右键单击特定漏洞并点击重新测试。

【讨论】:

我正在再次运行扫描,并对此进行单独的重新测试。谢谢! 在单独测试后确实通过了。谢谢!

以上是关于IBM Security Appscan 在 SignalR 连接上返回 MongoDB NoSQL 注入的主要内容,如果未能解决你的问题,请参考以下文章

解决IBM Security AppScan扫描出现检测到RC4密码套件问题

VB.Net 中 File.Copy 方法中的 IBM AppScan Security PathTraversal 问题

IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

IBM Rational AppScan使用详细说明

IBM AppScan 的验证要求问题

安全测试工具IBM Rational AppScan的使用教程