moon2lyna 2021-12-27 15:24 采纳率: 100%
浏览 58
已结题

关于X-FORWARDED-FOR注入XSS攻击的问题

我这边有一个网站,登录的时候会把 请求头的x-forwarded-for 的用户IP记录下来,然后在 登录后 在菜单栏选择 “操作记录” 功能页面 可以看到登录ip和操作信息。 现在发现一个漏洞就是 在登录的时候在请求头x-forwarded-for注入xss语句,这时候语句被记录了。但没有马上触发,登录成功后也不会触发,需要等用户选择了 操作记录 这个功能页的时候才可能被调用。 针对这种情况 用appscan 也没扫描出来,想问问有什么工具可以扫描出来或者什么方法可以发现?
我了解APPSCAN 针对表单提交的储存性xss攻击是能扫描出来,但是这种请求头篡改的貌似是扫不出来。求解答啊

  • 写回答

1条回答 默认 最新

  • 不摸鱼的阿飞 2021-12-27 16:02
    关注

    这种只能手工测试,或者你用绿盟的极光试试

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 1月20日
  • 已采纳回答 1月12日
  • 创建了问题 12月27日

悬赏问题

  • ¥15 recipe通过gem协议传的是什么
  • ¥15 TS2307: Cannot find module 'cc'.
  • ¥15 100小时学会sap 书上pp章节5.22,标准成本计算逻辑?
  • ¥50 达梦数据库误删日志文件重做DAMENG01.log启动仍然-712错误
  • ¥15 cellranger化学处理类型报错
  • ¥15 用texstudio插入图片出现下面情况,怎么办
  • ¥15 ubantu 用samba挂载windows的共享文件夹,无法挂载二级目录和修改文件
  • ¥15 有没有会五轴RTCP算法,双转台AC结构。
  • ¥25 对于LSTM实践问题的疑问
  • ¥15 PHP中关于排名和显示的问题