我这边有一个网站,登录的时候会把 请求头的x-forwarded-for 的用户IP记录下来,然后在 登录后 在菜单栏选择 “操作记录” 功能页面 可以看到登录ip和操作信息。 现在发现一个漏洞就是 在登录的时候在请求头x-forwarded-for注入xss语句,这时候语句被记录了。但没有马上触发,登录成功后也不会触发,需要等用户选择了 操作记录 这个功能页的时候才可能被调用。 针对这种情况 用appscan 也没扫描出来,想问问有什么工具可以扫描出来或者什么方法可以发现?
我了解APPSCAN 针对表单提交的储存性xss攻击是能扫描出来,但是这种请求头篡改的貌似是扫不出来。求解答啊
关于X-FORWARDED-FOR注入XSS攻击的问题
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
- 2021-12-27 15:24回答 1 已采纳 这种只能手工测试,或者你用绿盟的极光试试
- 2017-11-23 02:53回答 1 已采纳 你自己测试下,在后端获取下X-Forwarded-For的值,看是不是两个值以“;”连在一起的,前提是两个变量有值哈,你也可以自己设下
- 2018-05-22 12:55回答 1 已采纳 REMOTE_ADDR is the IP address established through a 3-way TCP/IP handshake. It is the IP the respo
- 2022-05-23 00:54answer009的博客 题目:X-Forwarded-For注入漏洞实战 知识点: 是HTTP请求头中XFF的伪造和应用,是一道借用XFF来爆破数据库、表、列以及列值的题目。先输入账户为admin,密码为123456进行登录尝试,出现了弹窗,仔细观察弹窗会发现...
- 2021-12-26 23:54回答 1 已采纳 感觉你配置文件的class写错了,配置的应该是视图解析器,而不是视图 org.springframework.web.servlet.view.InternalResourceViewResolver
- 2022-11-05 17:18回答 2 已采纳 没看见jenkins的配置啊?只有phpmyadmin没贴全吗?配置完毕后进入nginx-proxy-manager执行nginx -T看看server的配置是否符合预期
- 2021-06-28 19:20回答 2 已采纳 192.168.1.185才是对外的ip地址,分配的地址是属于这个地址下的(局域地址),这个地址是获取不到的。就像我们的请求都是经过路由转发出去的,都是有唯一的路由Ip,而拿不到真实的内网ip。
- 2023-02-10 01:31梅头脑_的博客 墨者学院09 X-Forwarded-For注入漏洞实战,参考大佬wp,对于显错注入整理了手工和sqlmap两种注入流程~
- 2019-03-15 09:41回答 1 已采纳 1. Inject external dependencies into your unit under test The biggest problem I can see right now
- 2019-03-04 18:00回答 1 已采纳 Try this code <?php header('Content-Type: application/json'); // get ip $ip = $_SE
- 2020-07-13 09:22回答 2 已采纳 写入过程如果发生异常你已经try了,一定会去写日志的。那么问题就出在根本没有进入updDetailed(list,insertOderSql)方法, 所以问题出在这里: while (rs_
- 2022-07-20 17:36回答 3 已采纳 以前貌似遇到过,你的 /admin 下访问的静态 js 那就的给你的 admin 项目的js前面都加上 /admin,然后让 /admin/xx.js 才能访问到正确的 js, 其他的配置就正常配置。
- 2023-06-10 14:21小胡乌的博客 QL注入,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,...
- 2021-07-25 15:49eeeric7的博客 使用AntSword添加URL数据 密码由题意推测为shell 脚本语言为php 文件列表发现flag.txt Web-11 command_execution ping WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF...
- 2020-06-05 09:22程序员石磊的博客 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-NginX-Proxy true; proxy_pass http://192.168.30.246/; } #error_page 404 /404.html; # redirect server error ...
- 2019-09-29 17:23要和太阳肩并肩的博客 修复跨站脚本攻击(XSS)漏洞,无需更改项目源码
- 2021-03-18 13:04Tellsea的博客 文章目录一、SQL注入问题(1)什么是SQL注入(2)防止SQL注入二、XSS攻击问题(1)什么是XSS攻击(2)防止XSS攻击三、CSRF/CROS恶意访问(1)什么是CSRF/CROS恶意访问(2)解决办法四、解决方案微信公众号 ...
- 2019-05-28 10:31q908544703的博客 X-Forwarded-For、X-Frame-Options、X-XSS-Protection 8.post数据xss 8.post数据xss: 基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,% 基本2:update,delete,select,insert 特殊:or,and,sleep,concat...
- 没有解决我的问题, 去提问
问题事件
系统已结题
1月20日
已采纳回答
1月12日-
创建了问题
12月27日
悬赏问题
- ¥20 C语言字符串不区分大小写字典排序相关问题
- ¥15 关于#python#的问题:我希望通过逆向技术爬取1688搜索页下滑加载的数据
- ¥15 学习C++过程中遇到的问题
- ¥15 关于Linux的终端里,模拟实现一个带口令保护的屏保程序遇到的输入输出的问题!(语言-c语言)
- ¥15 学习C++过程中遇到的问题
- ¥15 请问,这个嵌入式Linux系统怎么分析,crc检验区域在哪
- ¥15 二分类改为多分类问题
- ¥15 Unity微信小游戏上调用ReadPixels()方法报错
- ¥15 如何通过求后验分布求得样本中属于两种物种其中一种的概率?
- ¥15 q从常量变成sin函数,怎么改写python代码?