完全なWeb脆弱性スキャンの後、可能な注入についてすべての同様のフィールドをテストする必要がありますか？

Question

プロジェクトのザップスキャンを実行したところ、中レベルおよび低レベルの脆弱性がいくつか見つかりました。しかし、いくつかの投稿を調べてみると、テキストフィールドでもインジェクション（sql、xss、command）を実行する必要があることがわかりました。

ただし、すべてのテキストフィールドでこれらのインジェクションを実行するのは面倒な作業であり、ほとんどの時間がかかります。私の理解によると、各ページのいずれかのテキストフィールドでこれらのインジェクションを実行すると、プロジェクトのそのページのすべてのテキストフィールドで実行するのではなく、同じ脆弱な結果が得られるはずです。

このアプローチが意味をなすかどうか提案してください。

Simon Bennetts · Accepted Answer

それはすべて、アプリケーションがフィールドを処理する方法に依存します。 正確にで同じように処理する場合は、はい、理論的にはそのうちの1つをスキャンするだけで済みます。ただし、これは通常のケースではなく、アプリケーションは通常、フィールドの使用方法が異なります。

ZAPスキャンを高速化するにはさまざまな方法があります-このブログ投稿を参照してください： https://blog.mozilla.org/security/2013/07/10/how-to-speed-up-owasp-zap-scans /

Suedish · Answer

はい、すべてのフィールドをテストする必要があります。テストしないフィールドに脆弱性がないことを確認することはできません。理論的には、まったく同じコードがそのページのすべてのフィールドを処理していると主張できますが、実際のシナリオでは、実際にはそうではないことがわかりました。したがって、環境やその他のセキュリティ関連のテスト（SAST、コードレビューなど）を知らなくても、答えは「はい」です。すべてのフィールドをテストする必要があります。