回答情况:
提问时间:
问题标签:
我在Veracode平台上对我的代码进行了SAST扫描,我在Java邮件功能中发现了这个漏洞,我正在使用这个漏洞从我的应用程序发送邮件。以下是即将出现的漏洞-- CRLF序列(“CRLF注入”) (CWE ID 93)的不正确中和。
浏览 4提问于2019-07-01得票数 0
回答已采纳
我有一个J2EE web应用程序,使用Burp的扫描报告如下为header注入漏洞。问题是当在请求头/参数中注入CRLF字符时,我们只是从请求中删除这些字符,以避免响应分裂问题,但是Burp Scanner仍然将其报告为高问题。因此,我的问题是,“仅仅从请求中删除CRLF字符,以避免HTTP共振分裂问题,并允许请求继续进行,难道还不够吗?或者当在请求中发现这些字符时,我们应该抛出一个异常吗?如果CRLF字符已经被删除了,它会有什么害处?有人能用一个例子来解释吗? Burp Sc
浏览 0修改于2017-05-21得票数 1
回答已采纳
我正在试图修复我的应用程序记录器im上的CRLF漏洞,目前正在记录我的http请求路径,有什么方法来验证这个漏洞吗?删除当前使用c#作为编程语言的请求路径im上的任何CR注入
这是我记录错误时的核心代码。
浏览 0提问于2018-04-02得票数 2
回答已采纳
但我真正困惑的是如何识别Python中的漏洞。比如下面的两个。它说:“HTTPConnection.putheader函数中的urllib2和CPython (又名Python)中的urllib在2.7.10和3.4.4之前的urllib漏洞允许远程攻击者通过URL中的CRLF序列注入任意headers。”所以总的来说-我想知道的是Python中的漏洞是否意味着它在Jython中
浏览 4提问于2017-02-17得票数 2
回答已采纳
如何解决依赖于另一个包的npm漏洞。例如,我得到了下面的错误,其中包undici依赖于prismix包。运行npm审计修复程序的已更新为最新版本。在v5.8.0之前易受请求头包中的CRLF注入影响的中度错误包undici修补了>=5.8.0依赖于>=5.8.0路径, > @prisma/sdk > @prisma/engine-core > undici
浏览 14修改于2022-10-18得票数 0
0回答
x-check漏洞是否误报?
数据库、漏洞扫描服务、解决方案、漏洞、漏洞管理
扫描出了 CRLF漏洞、路径穿越、任意文件读写的漏洞场景:java controller传入一个参数ID,通过ID获取到数据库中的文件路径,进行下载,下载后端在请求头指定下载名称。x-check指出名称处存在CRLF漏洞。
原有解决方案(还是未通过扫描):按照建议方案对文件名称进行 \r\f 替换!FileUtil.createTempFile(SnowFlakeBuild.generateSixtyBinaryId(), ".txt&quo
浏览 120提问于2024-06-20
SampleClass.class, "(END)"); logger.error(e.getMessage(), e);
Veracode扫描显示此日志记录行易受CLRF注入的攻击
浏览 0修改于2019-02-20得票数 3
我有一个应用程序,其中的代码扫描器已经确定CRLF注入的可能性,在某些类与电子邮件生成。http://en.wikipedia.org/wiki/Simple_邮件_转移_Protocol#SMTP_运输_示例还是别的什么?
浏览 0提问于2014-03-25得票数 15
回答已采纳
2回答
我在找一个脆弱的CRLF环境。到目前为止,我已经测试了PHP和JSP。那么,Java和PHP从哪个版本开始修复CRLF漏洞呢?
浏览 0修改于2017-11-06得票数 4
回答已采纳
request.getQueryString());显然,它不是很有用,但它足以触发一个FindBugs警告,我在我的实际JSP上也得到了这样的警告:
如果有的话,我
浏览 0提问于2015-06-17得票数 0
1回答
enforce=true&app_name=OBSWCY3PMNVQ%3D%3D%3D%3D;date: Sun, 10set-cookie: ads_session=BAh7CiIMc2NyaWJlZFsGbCsJ0VNxAAAAEABJIg9jcmVhdGVkX2F0BjoGRUZsKwiFDGo8TQEiEF9jc3JmX3Rva2VuIjFjL2gvTmg4TEI<
浏览 0修改于2015-05-10得票数 2
在我的本地网络上,我有一个VM加载了一个非常基本的SQL注入漏洞。总是报告页面中没有注入漏洞。到目前为止,我运行了以下操作:sqlmap --level=5 --risk=3 -a 192.168.254.21
在这两种情况下,SQLMap返回时都报告没有漏洞。关于如何改进我对这个工具的使用,使它能够正确地识别这样的基本漏洞,有什么想法吗?
浏览 0修改于2017-06-01得票数 2
我正在学习一门课程,培训师建议在尝试利用这些漏洞之前,先确定影响web应用程序的所有漏洞。虽然我理解识别所有漏洞的必要性,但我不明白为什么要在尝试利用我刚刚发现的漏洞之前(比如sql注入、命令注入、远程文件包含、.)等会儿再来吧?
有理由这样做吗?
浏览 0提问于2016-06-11得票数 2
Web应用程序漏洞和潜在的假阳性
作为渗透测试器,应用程序漏洞扫描是任何渗透测试方法的重要组成部分。在应用程序扫描阶段,可能会出现几种不同类型的漏洞。主要是..。SQL注入/盲目SQL注入、跨站点脚本/持久性跨站点脚本、命令注入、XPath注入、SOAP/AJAX攻击、CSRF/HTTP响应拆分、任意文件上传攻击、远程文件包括(PHP代码注入)、应用程序errors根据我的经验,SQL注入<em
浏览 0提问于2014-10-15得票数 1
3回答
我必须写一篇关于SOA漏洞(SOA安全性)的硕士论文。从这个意义上说,找到web服务中的漏洞或找到现有漏洞的解决方案。在这个方向上,我一直在寻找SOA中的漏洞。一旦发现了漏洞,我就必须刺激它并向我的向导展示。我在OWASP中发现的一些相应的攻击是DOS攻击,注入攻击(SQL注入,XPath注入)。我现在不能做出正确的决定,下一步该怎么做。
浏览 0修改于2010-02-04得票数 1
回答已采纳
现在,我正在修改Hackxor VM (一种受限制的培训环境),并试图使用sqlmap来利用我可以手动利用的漏洞。71934/**/unUNIONion/**/seSELECTlect/**/*/**/from/**/users然后,我尝试用sqlmap复制注入</e
浏览 0修改于2016-03-01得票数 6
2回答
当出现以下漏洞时,我正在扫描一个站点: CGI通用SQL注入使用POST HTTP方法,Nessus发现:
loginButton=Login&_VIEWSTATE=dDwtMTU2NDIxM
浏览 10修改于2014-02-24得票数 1
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号