回答情况:
提问时间:
问题标签:
我在Veracode平台上对我的代码进行了SAST扫描,我在Java邮件功能中发现了这个漏洞,我正在使用这个漏洞从我的应用程序发送邮件。以下是即将出现的漏洞-- CRLF序列(“CRLF注入”) (CWE ID 93)的不正确中和。
浏览 4提问于2019-07-01得票数 0
回答已采纳
我有一个J2EE web应用程序,使用Burp的扫描报告如下为header注入漏洞。问题是当在请求头/参数中注入CRLF字符时,我们只是从请求中删除这些字符,以避免响应分裂问题,但是Burp Scanner仍然将其报告为高问题。因此,我的问题是,“仅仅从请求中删除CRLF字符,以避免HTTP共振分裂问题,并允许请求继续进行,难道还不够吗?或者当在请求中发现这些字符时,我们应该抛出一个异常吗?如果CRLF字符已经被删除了,它会有什么害处?有人能用一个例子来解释吗? Burp Sc
浏览 0修改于2017-05-21得票数 1
回答已采纳
我正在试图修复我的应用程序记录器im上的CRLF漏洞,目前正在记录我的http请求路径,有什么方法来验证这个漏洞吗?删除当前使用c#作为编程语言的请求路径im上的任何CR注入
这是我记录错误时的核心代码。
浏览 0提问于2018-04-02得票数 2
回答已采纳
但我真正困惑的是如何识别Python中的漏洞。比如下面的两个。它说:“HTTPConnection.putheader函数中的urllib2和CPython (又名Python)中的urllib在2.7.10和3.4.4之前的urllib漏洞允许远程攻击者通过URL中的CRLF序列注入任意headers。”所以总的来说-我想知道的是Python中的漏洞是否意味着它在Jython中
浏览 4提问于2017-02-17得票数 2
回答已采纳
如何解决依赖于另一个包的npm漏洞。例如,我得到了下面的错误,其中包undici依赖于prismix包。运行npm审计修复程序的已更新为最新版本。在v5.8.0之前易受请求头包中的CRLF注入影响的中度错误包undici修补了>=5.8.0依赖于>=5.8.0路径, > @prisma/sdk > @prisma/engine-core > undici
浏览 14修改于2022-10-18得票数 0
0回答
x-check漏洞是否误报?
数据库、漏洞扫描服务、解决方案、漏洞、漏洞管理
扫描出了 CRLF漏洞、路径穿越、任意文件读写的漏洞场景:java controller传入一个参数ID,通过ID获取到数据库中的文件路径,进行下载,下载后端在请求头指定下载名称。x-check指出名称处存在CRLF漏洞。
原有解决方案(还是未通过扫描):按照建议方案对文件名称进行 \r\f 替换!FileUtil.createTempFile(SnowFlakeBuild.generateSixtyBinaryId(), ".txt&quo
浏览 120提问于2024-06-20
SampleClass.class, "(END)"); logger.error(e.getMessage(), e);
Veracode扫描显示此日志记录行易受CLRF注入的攻击
浏览 0修改于2019-02-20得票数 3
我有一个应用程序,其中的代码扫描器已经确定CRLF注入的可能性,在某些类与电子邮件生成。http://en.wikipedia.org/wiki/Simple_邮件_转移_Protocol#SMTP_运输_示例还是别的什么?
浏览 0提问于2014-03-25得票数 15
回答已采纳
2回答
我在找一个脆弱的CRLF环境。到目前为止,我已经测试了PHP和JSP。那么,Java和PHP从哪个版本开始修复CRLF漏洞呢?
浏览 0修改于2017-11-06得票数 4
回答已采纳
request.getQueryString());显然,它不是很有用,但它足以触发一个FindBugs警告,我在我的实际JSP上也得到了这样的警告:
如果有的话,我
浏览 0提问于2015-06-17得票数 0
Web应用程序漏洞和潜在的假阳性
作为渗透测试器,应用程序漏洞扫描是任何渗透测试方法的重要组成部分。在应用程序扫描阶段,可能会出现几种不同类型的漏洞。主要是..。SQL注入/盲目SQL注入、跨站点脚本/持久性跨站点脚本、命令注入、XPath注入、SOAP/AJAX攻击、CSRF/HTTP响应拆分、任意文件上传攻击、远程文件包括(PHP代码注入)、应用程序errors根据我的经验,SQL注入<em
浏览 0提问于2014-10-15得票数 1
我正在学习一门课程,培训师建议在尝试利用这些漏洞之前,先确定影响web应用程序的所有漏洞。虽然我理解识别所有漏洞的必要性,但我不明白为什么要在尝试利用我刚刚发现的漏洞之前(比如sql注入、命令注入、远程文件包含、.)等会儿再来吧?
有理由这样做吗?
浏览 0提问于2016-06-11得票数 2
3回答
我必须写一篇关于SOA漏洞(SOA安全性)的硕士论文。从这个意义上说,找到web服务中的漏洞或找到现有漏洞的解决方案。在这个方向上,我一直在寻找SOA中的漏洞。一旦发现了漏洞,我就必须刺激它并向我的向导展示。我在OWASP中发现的一些相应的攻击是DOS攻击,注入攻击(SQL注入,XPath注入)。我现在不能做出正确的决定,下一步该怎么做。
浏览 0修改于2010-02-04得票数 1
回答已采纳
我试图使用OWASP在DVWA中查找SQL注入漏洞。经过几次点击页面后,我得到了一个小的站点地图:我在GET:sqli节点上运行了活动扫描、蜘蛛和AJAX蜘蛛。正如您在上面的屏幕截图中所看到的,没有发现SQL注入漏洞。8081/vulnerabilities/sqli/页面中的表单操作也是如此:只有当我手动提交表单时,表单操作才会显示在“站点”选项卡中:而且,只有当我再次运行活动扫描时,才会检测到SQL注入漏洞📷
有没有办法强制蜘蛛
浏览 0提问于2019-12-10得票数 0
2回答
我正在审核Windows环境中一个可能存在漏洞的ASP代码。以下提交将传递If子句,但将在未找到的文件中返回:此处注入的空字节不会执行任何操作,它将尝试找到与整个字符串匹配的文件我也试过注射CRLF,#,等等。
那么,我的问题是,是否有任何方法可以提交一个查询字符串来成功下载任意文件?编辑:总之,我正在寻找某种方式来“注释”掉文件名的最后一部分,无论是通过ASP、Webserver或windows处理文件中的bug/
浏览 0修改于2014-08-18得票数 4
我用veracode扫描了这个项目,它给出了CWE ID 93(CRLF注入)的问题,这个问题发生在下面这条线-
InternetAddress[] address = {new InternetAddress因此,我的一位同事建议我应该使用验证方法来删除CRLF字符。地址对象的验证方法会删除CRLF分隔符吗?
浏览 3提问于2019-06-19得票数 0
我不能分离OWASP前10名的安全风险,Sql注入是攻击还是漏洞?如果Sql注入是web应用程序攻击类型(以及其他owasp安全风险),那么在哪里可以找到漏洞列表?
浏览 0修改于2017-05-26得票数 -1
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号