[研究]ASP.NET WebForm網站被 HCL AppScan 10.8報告 __AntiXsrfToken (Cookie)【參數指令注入】弱點

[研究]ASP.NET WebForm網站被 HCL AppScan 10.8報告 __AntiXsrfToken (Cookie) 【參數指令注入】弱點

2025-07-18

HCL AppScan Standard 10.8.0 建立 

********************************************************************************

實際到受測主機測試

✅ DNS 查詢會發送到內部 DNS Server 172.16.xxxx.xxx

❌ 內部 DNS Server 未能將此查詢往外轉送，或被網路政策擋下

根據這些事實，在這種網路架構下：

AppScan 嘗試觸發 SSRF、Command Injection、外部連線等弱點時，可能無法實際送出封包

因為：主機連 DNS 查詢都 timeout，就不可能觸發成功的 OOB（Out-of-Band）漏洞

🔍 AppScan 報告是否為誤判？

本次掃描報告中出現的 OOB 連線測試（如 v3-ping-xxx.adns.appsechcl.com），實測本主機無法進行外部 DNS 查詢（內部 DNS 無法解析外部域名），可合理判定為 誤判（False Positive）。

(完)