1回答
我试图使用OWASP在DVWA中查找SQL注入漏洞。经过几次点击页面后,我得到了一个小的站点地图:我在GET:sqli节点上运行了活动扫描、蜘蛛和AJAX蜘蛛。正如您在上面的屏幕截图中所看到的,没有发现SQL注入漏洞。localhost:8081/vulnerabilities/sqli/页面中的表单操作也是如此:只有当我手动提交表单时,表单操作才会显示在“站点”选项卡中:而且,只有当我再次运行活动扫描时,才会检测到SQL注入漏洞<
浏览 0提问于2019-12-10得票数 0
它发现了一个XSS漏洞。扫描步骤: Injected item: POST: localeCountry <--这是一个枚举值,不能更改为XSS字符串并存储在服务器中。注入值:>'>alert("XSS警告!“)检测值:>'>alert("XSS警告!“)在攻击响应页面中检测到,该页面在链接内找到。我认为这是一个无效的漏洞,因为注入的项目不会持久,也不会影响其他用户。最好避开所有参数,但我想知道这个漏洞</em
浏览 2提问于2012-10-19得票数 0
回答已采纳
1回答
但Sonarqube未能找到大多数漏洞。甚至是简单的sql注入。我想知道我是否错过了一些配置,或者SonarQube无法检测到configuration和其他不安全的编码(漏洞)?
浏览 6提问于2017-05-10得票数 0
回答已采纳
1回答
Web搜索没有带来任何有用的东西,但我正在编写一个自动化测试,它将检测目标的任何注入漏洞。目前,我只检测到'Remote OS Command Injection',但我想知道其他潜在命令的确切拼写,例如,SSI注入,或XML外部实体。非常感谢。
浏览 22提问于2018-01-18得票数 0
作为我工作的一部分,我定期测试web应用程序的漏洞。当涉及到SQL注入时,我的方法是从手动浏览网站开始,然后将我怀疑与数据库交互的参数发送到SQLMap。现在,我想知道这是否是寻找SQL注入的正确方式?SQLMap是否能够找到大多数类型的SQL注入,或者我是否应该求助于手动测试?
浏览 0提问于2016-05-16得票数 8
Vega检测到它是SQL注入漏洞,但是当我用sqlmap测试它时,它在这个url中找不到注入。Vega显示了URL app.php?在这种情况下,它真的是一个SQL注入漏洞吗?我可以强制sqlmap使用这个URL作为帮助吗?
浏览 0提问于2016-09-06得票数 0
我试图检测输入字段中存在盲/存储XSS漏洞。在注入有效负载的“A”页上,该漏洞不会触发。
这很可能是因为易受攻击的字段将值存储在其他地方,这只会触发另一个页面上的有效负载,例如页面'B‘。我如何有效地测试这样的XSS漏洞是否确实存在?
浏览 0提问于2021-12-01得票数 0
SQL_Injection和Second_Order_SQL_Injection漏洞出现在使用checkmarx扫描的spring框架的项目源代码中。已在“密码”中检测到注入漏洞 @Query
浏览 8提问于2022-10-10得票数 0
有时,当我们扫描SharePoint安装时,软件会检测到盲目的SQL注入漏洞。我非常确定这是一个误报--AppScan可能将HTTP响应中的某些其他活动解释为盲注入的成功。但很难证明这是真的。如果所有东西都是链式的,并且它们都不是动态的,那么我们就有很好的证据证明SharePoint没有SQL注入漏洞。
浏览 0提问于2008-11-21得票数 7
服务器端包含注入真的是常见的漏洞吗?我怎样才能检测到它--是否有某种方式像自动工具或某种指纹测试,或者我只需要玩输入?
浏览 0提问于2019-11-19得票数 1
回答已采纳
3回答
我正在寻找ASP.Net中最好的可重用的库和内置功能,以防止OWASP十大安全漏洞,如注入,XSS,CSRF等,也易于使用工具来检测这些漏洞,供测试团队使用。
浏览 0提问于2010-07-06得票数 3
回答已采纳
1回答
我让我的老板用在线服务在我们的服务器上做漏洞扫描,试图解释我们实际上并没有受到报告所说的漏洞的影响,这令人沮丧。让我的服务器对这些扫描免疫的最好方法是什么?
浏览 0提问于2010-09-01得票数 0
1回答
我允许用户上传CSV文件。其他用户可以下载这些文件。我知道CSV可能是攻击向量。只有在验证MIME类型之后才会进行任何扫描。
浏览 0提问于2019-03-12得票数 1
回答已采纳
1回答
我遇到了一个情况,在我的项目中,FindBugs没有检测到SQL注入。该项目是用Gradle构建的,使用了FindBugs插件。我使用hibernate连接到DB。下面是包含SQL注入的部分, String fromDate当我使用Veracode运行同一个项目时,它显示了我提到的部分的SQL注入。下面是我build.gradle下的build.gradle插件部
浏览 0提问于2018-09-20得票数 2
1回答
哪些工具最适合自动测试:代码:
DB:
安全性:
我正在寻找工具,可以自动化的测试过程,维护大型项目。
浏览 3提问于2012-09-07得票数 1
回答已采纳
我读过不同的数据库(mysql,sql server,.)有不同的漏洞,它们容易受到某些特定sql注入的攻击。当攻击者试图对网站(如SQL注入)执行数据库攻击时,首先确定数据库的类型,然后执行检测到的数据库的攻击思路。
攻击者如何执行先前的检查?使用一些特殊的查询?有没有特定的工具?
浏览 0提问于2012-12-10得票数 15
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
