我这边有一个网站,登录的时候会把 请求头的x-forwarded-for 的用户IP记录下来,然后在 登录后 在菜单栏选择 “操作记录” 功能页面 可以看到登录ip和操作信息。 现在发现一个漏洞就是 在登录的时候在请求头x-forwarded-for注入xss语句,这时候语句被记录了。但没有马上触发,登录成功后也不会触发,需要等用户选择了 操作记录 这个功能页的时候才可能被调用。 针对这种情况 用appscan 也没扫描出来,想问问有什么工具可以扫描出来或者什么方法可以发现?
我了解APPSCAN 针对表单提交的储存性xss攻击是能扫描出来,但是这种请求头篡改的貌似是扫不出来。求解答啊
关于X-FORWARDED-FOR注入XSS攻击的问题
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
- 2021-12-27 15:24回答 1 已采纳 这种只能手工测试,或者你用绿盟的极光试试
- 2017-11-23 02:53回答 1 已采纳 你自己测试下,在后端获取下X-Forwarded-For的值,看是不是两个值以“;”连在一起的,前提是两个变量有值哈,你也可以自己设下
- 2018-05-22 12:55回答 1 已采纳 REMOTE_ADDR is the IP address established through a 3-way TCP/IP handshake. It is the IP the respo
- 2022-05-23 00:54answer009的博客 题目:X-Forwarded-For注入漏洞实战 知识点: 是HTTP请求头中XFF的伪造和应用,是一道借用XFF来爆破数据库、表、列以及列值的题目。先输入账户为admin,密码为123456进行登录尝试,出现了弹窗,仔细观察弹窗会发现...
- 2021-12-26 23:54回答 1 已采纳 感觉你配置文件的class写错了,配置的应该是视图解析器,而不是视图 org.springframework.web.servlet.view.InternalResourceViewResolver
- 2022-11-05 17:18回答 2 已采纳 没看见jenkins的配置啊?只有phpmyadmin没贴全吗?配置完毕后进入nginx-proxy-manager执行nginx -T看看server的配置是否符合预期
- 2021-06-28 19:20回答 2 已采纳 192.168.1.185才是对外的ip地址,分配的地址是属于这个地址下的(局域地址),这个地址是获取不到的。就像我们的请求都是经过路由转发出去的,都是有唯一的路由Ip,而拿不到真实的内网ip。
- 2022-03-02 14:19随风6034的博客 X-Forwarded-For注入漏洞
- 2019-03-15 09:41回答 1 已采纳 1. Inject external dependencies into your unit under test The biggest problem I can see right now
- 2019-03-04 18:00回答 1 已采纳 Try this code <?php header('Content-Type: application/json'); // get ip $ip = $_SE
- 2020-07-13 09:22回答 2 已采纳 写入过程如果发生异常你已经try了,一定会去写日志的。那么问题就出在根本没有进入updDetailed(list,insertOderSql)方法, 所以问题出在这里: while (rs_
- 2023-07-31 17:385WDD的博客 XFF,是X-Forwarded-for的缩写,属于SQL注入的一种,该注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注入,达到欺骗服务器执行恶意的SQL命令的效果,从而可以得到网站的数据库内容。
- 2022-07-20 17:36回答 3 已采纳 以前貌似遇到过,你的 /admin 下访问的静态 js 那就的给你的 admin 项目的js前面都加上 /admin,然后让 /admin/xx.js 才能访问到正确的 js, 其他的配置就正常配置。
- 2023-02-10 01:31梅头脑_的博客 墨者学院09 X-Forwarded-For注入漏洞实战,参考大佬wp,对于显错注入整理了手工和sqlmap两种注入流程~
- 2022-06-22 00:20Aτθ的博客 一、xff 注入攻击 X-Forwarded-For 简称 XFF 头,它代表了客户端的真实 IP,通过修改他的值就可以伪造客户端 IP。XFF 并不受 gpc 影响,而且开发 人员很容易忽略这个 XFF 头,不会对 XFF 头进行过滤。 X-Forwarded-...
- 2023-06-10 14:21小胡乌的博客 QL注入,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,...
- 2020-06-05 09:22程序员石磊的博客 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-NginX-Proxy true; proxy_pass http://192.168.30.246/; } #error_page 404 /404.html; # redirect server error ...
- 2021-07-25 15:49eeeric7的博客 使用AntSword添加URL数据 密码由题意推测为shell 脚本语言为php 文件列表发现flag.txt Web-11 command_execution ping WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF...
- 没有解决我的问题, 去提问
问题事件
系统已结题
1月20日
已采纳回答
1月12日-
创建了问题
12月27日
悬赏问题
- ¥15 #MATLAB仿真#车辆换道路径规划
- ¥15 java 操作 elasticsearch 8.1 实现 索引的重建
- ¥15 数据可视化Python
- ¥15 要给毕业设计添加扫码登录的功能!!有偿
- ¥15 kafka 分区副本增加会导致消息丢失或者不可用吗?
- ¥15 微信公众号自制会员卡没有收款渠道啊
- ¥15 stable diffusion
- ¥100 Jenkins自动化部署—悬赏100元
- ¥15 关于#python#的问题:求帮写python代码
- ¥20 MATLAB画图图形出现上下震荡的线条