我这边有一个网站,登录的时候会把 请求头的x-forwarded-for 的用户IP记录下来,然后在 登录后 在菜单栏选择 “操作记录” 功能页面 可以看到登录ip和操作信息。 现在发现一个漏洞就是 在登录的时候在请求头x-forwarded-for注入xss语句,这时候语句被记录了。但没有马上触发,登录成功后也不会触发,需要等用户选择了 操作记录 这个功能页的时候才可能被调用。 针对这种情况 用appscan 也没扫描出来,想问问有什么工具可以扫描出来或者什么方法可以发现?
我了解APPSCAN 针对表单提交的储存性xss攻击是能扫描出来,但是这种请求头篡改的貌似是扫不出来。求解答啊
关于X-FORWARDED-FOR注入XSS攻击的问题
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
- 2017-11-23 02:53回答 1 已采纳 你自己测试下,在后端获取下X-Forwarded-For的值,看是不是两个值以“;”连在一起的,前提是两个变量有值哈,你也可以自己设下
- 2018-05-22 12:55回答 1 已采纳 REMOTE_ADDR is the IP address established through a 3-way TCP/IP handshake. It is the IP the respo
- 2021-12-26 23:54回答 1 已采纳 感觉你配置文件的class写错了,配置的应该是视图解析器,而不是视图 org.springframework.web.servlet.view.InternalResourceViewResolver
- 2023-07-31 17:385WDD的博客 XFF,是X-Forwarded-for的缩写,属于SQL注入的一种,该注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注入,达到欺骗服务器执行恶意的SQL命令的效果,从而可以得到网站的数据库内容。
- 2022-11-05 17:18回答 2 已采纳 没看见jenkins的配置啊?只有phpmyadmin没贴全吗?配置完毕后进入nginx-proxy-manager执行nginx -T看看server的配置是否符合预期
- 2021-06-28 19:20回答 2 已采纳 192.168.1.185才是对外的ip地址,分配的地址是属于这个地址下的(局域地址),这个地址是获取不到的。就像我们的请求都是经过路由转发出去的,都是有唯一的路由Ip,而拿不到真实的内网ip。
- 2019-03-15 09:41回答 1 已采纳 1. Inject external dependencies into your unit under test The biggest problem I can see right now
- 2023-02-10 01:31梅头脑_的博客 墨者学院09 X-Forwarded-For注入漏洞实战,参考大佬wp,对于显错注入整理了手工和sqlmap两种注入流程~
- 2019-03-04 18:00回答 1 已采纳 Try this code <?php header('Content-Type: application/json'); // get ip $ip = $_SE
- 2020-07-13 09:22回答 2 已采纳 写入过程如果发生异常你已经try了,一定会去写日志的。那么问题就出在根本没有进入updDetailed(list,insertOderSql)方法, 所以问题出在这里: while (rs_
- 2018-08-09 03:27回答 1 已采纳 https://blog.csdn.net/dj2008/article/details/12555411
- 2016-07-18 11:36weixin_30521161的博客 本文转载自https://imququ.com/post/x-forwarded-for-header-in-http.html 我一直认为,对于从事 Web 前端开发的同学来说,HTTP 协议以及其他常见的网络知识属于必备项。一方面,前端很多工作如 Web 性能优化,大...
- 2024-01-21 08:00未知百分百的博客 存储型XSS攻击的主要原理是将恶意脚本存储在服务器端,然后当用户访问包含该恶意脚本的页面时,恶意脚本会被执行。 攻击者通常会在受害者能够输入内容的地方(例如论坛、博客评论、搜索框等)注入恶意脚本。当其他...
- 2022-06-22 00:20Aτθ的博客 一、xff 注入攻击 X-Forwarded-For 简称 XFF 头,它代表了客户端的真实 IP,通过修改他的值就可以伪造客户端 IP。XFF 并不受 gpc 影响,而且开发 人员很容易忽略这个 XFF 头,不会对 XFF 头进行过滤。 X-Forwarded-...
- 2020-12-19 00:182. **安全漏洞**:未过滤的`HTTP_X_FORWARDED_FOR`值可能会引入SQL注入或跨站脚本(XSS)攻击,因为这些数据可能直接被用于数据库查询或显示在网页上。 因此,为确保安全,我们需要改进`getIP()`函数,以过滤和验证...
- 2023-06-10 14:21小胡乌的博客 QL注入,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,...
- 2021-08-21 18:00文档还提到了注入点,即攻击载荷可以被注入的地方,如HTTP请求头(User-Agent、Referer、Origin、X-Forwarded-For)以及请求参数。 此外,文档可能还提供了关于如何提高和自动化盲XSS攻击检测与响应的策略,如使用...
- 2020-06-05 09:22程序员石磊的博客 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-NginX-Proxy true; proxy_pass http://192.168.30.246/; } #error_page 404 /404.html; # redirect server error ...
- 没有解决我的问题, 去提问
问题事件
系统已结题
1月20日
已采纳回答
1月12日-
创建了问题
12月27日