Web安全测试
本话题发布Web安全测试相关的问答文章和技术分享,将持续更新,为您推荐了9篇问答,访问即可查看更多精彩内容。
-
1
回答
25浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
-
2
回答
7浏览
前端构建时集成SAST工具总是报错怎么办?
在Webpack项目里尝试用ESLint插件集成SAST工具做静态扫描,配置了eslint-plugin-security后,构建时提示Cannot read properties of undefi...
-
1
回答
8浏览
Nikto扫描时为什么忽略我指定的8080端口?
我用Nikto扫描本地Apache服务器时,明明加了-port 80,8080参数,但结果只显示扫描了80端口。手动curl 8080能访问,防火墙也没问题,这是什么原因? 命令是这样写的: nikt...
-
2
回答
10浏览
Metasploit执行msfconsole时提示未找到Ruby,但Ruby已安装怎么办?
刚安装完Metasploit框架,运行msfconsole时提示Ruby不是内部或外部命令,但之前用ruby -v明明显示版本是3.0.2了。已经把Ruby路径加到环境变量里了,重启终端也没用。 尝试...
-
2
回答
45浏览
XSStrike扫描时参数注入失败,该怎么排查?
用XSStrike测试登录接口时,参数注入总是显示"未触发"。我按文档配置了--forms参数,但扫描完后报告里全是绿色勾勾,实际用Burp发包却能抓到XSS漏洞。 尝试过手动指定payload文件:...
-
2
回答
74浏览
W3af扫描时插件加载失败怎么办?
用w3af_console扫描目标时老是报错"Plugin not found",折腾了半天没解决。按照官方文档装了所有依赖,运行w3af_console后选择插件扫描就直接报错了。 错误提示是:Tr...
-
2
回答
30浏览
Nikto扫描后显示“403 Forbidden”错误,怎么解决?
用Nikto扫描本地测试服务器时,为什么总提示403 Forbidden? 我刚用XAMPP搭了个本地测试环境,想用Nikto检测漏洞。运行命令nikto -h http://localhost:80...
-
2
回答
18浏览
白盒测试时发现CSS注入漏洞,如何验证并修复?
在审计前端代码时发现一个动态插入用户CSS样式的功能,像这样: .example { content: attr(data-style); /* 用户提供的样式会直接填充到data-style属性 *...
-
2
回答
54浏览
为什么我的Metasploit模块在前端测试时提示连接被拒绝?
我在本地测试一个前端应用的API接口时,用Metasploit的http_header_flood模块模拟DDoS攻击,设置RHOSTS为本机IP后运行,结果一直报"Connection refuse...
