静态安全扫描程序在以下行标记了我的C#代码: var result = JsonConvert.DeserializeObject<dynamic>(response); response将包含来自web扫描程序已将其标记为“不安全的反序列化”。 有人能帮我理解一下这是如何被利用的吗?Web示例并不清楚利用漏洞是发生在DeserializeObject方法本身内部,还是仅在反序列化之后发生。
我们在Salesforce中开发了一个应用程序,它使用DocuSign web服务API ( for development和 for production)。当我们对这两个API进行安全扫描时,我们发现了很少的漏洞。我们使用ZAP工具进行安全扫描,发现了以下漏洞:
X-内容-类型-选项头丢失这些问题是否可以固定在web服务上,或者是否有任何文件证明