W3af扫描时插件加载失败怎么办?
用w3af_console扫描目标时老是报错”Plugin not found”,折腾了半天没解决。按照官方文档装了所有依赖,运行w3af_console后选择插件扫描就直接报错了。
错误提示是:
Traceback (most recent call last):
File "/usr/bin/w3af_console", line 123, in load_plugins
from plugins.crawl.web_spider import WebSpider
ModuleNotFoundError: No module named 'plugins.crawl'已经试过重新安装w3af和pip安装缺失依赖,但问题依旧。是不是路径配置哪里错了?或者某些系统依赖没装?
- 1
回答
26浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
- 1
回答
19浏览
W3af扫描显示SQL注入漏洞,但手动测试没问题,哪里出错了?
用W3af扫描公司登录接口时,它提示存在SQL注入漏洞,但我在Postman里试了' OR '1'='1之类的payload完全没反应。后端用了参数化查询,是不是W3af误报了? 我按教程配置了gre...
- 1
回答
17浏览
Affix固钉组件在滚动时没有固定定位怎么办?
我在用Ant Design的Affix组件做侧边栏固定,但滚动到设置的offset位置时,组件并没有固定住。已经按文档设置了offsetTop=200,代码也看起来没问题: <a-affix :...
- 1
回答
30浏览
Draft.js自定义块渲染时样式丢失怎么办?
在用Draft.js自定义块渲染器时,给代码块添加的CSS样式完全没生效,页面上还是默认的样式。已经按照文档写了blockRendererFn: const blockRenderer = (bloc...
- 2
回答
17浏览
Leaflet地图标记显示在错误位置怎么办?
在用Leaflet给地图添加标记时,明明坐标是对的,但标记总偏移到海里去了。我检查了好几遍经纬度数值没问题,初始化地图和标记的代码是这样的: const map = L.map('map').setV...
- 1
回答
28浏览
W3af扫描时自定义请求头没生效,如何排查?
最近在用W3af测试公司API,需要给所有请求加User-Agent和X-Token头。按照文档在setup.conf里设置了headers参数: headers = {"User-Agent": "...
- 2
回答
42浏览
Graffiti画布更新后形状没有重新渲染怎么办?
在React组件里用Graffiti的Canvas时,通过state更新了形状数据,但画布上的图形没有变化,这是为什么? 我按官方文档写了一个基础组件,用state保存图形数据,通过setShapes...
- 1
回答
40浏览
iPhone底部Safe Area遮挡输入框怎么办?
开发聊天页面时,发现iPhone X以上机型的输入框总被底部Safe Area遮挡,试过设置padding-bottom: 34px但效果不稳定,有什么可靠的解决办法吗? 之前用过这样的CSS:.ch...
- 1
回答
4浏览
WAF配置后还是能绕过SQL注入?预编译查询没用?
我给API加了预编译查询和WAF规则,但测试时发现用OR 1=1 UNION SELECT这种payload还是能获取数据库表名。WAF规则用了黑名单过滤了单引号和分号,但用户输入“%df%”时居然返...
- 1
回答
8浏览
Safari调试时为什么无法在控制台看到console.log输出?
我在用Safari调试移动端网页时,明明写了console.log('测试'),但控制台完全没反应,折腾了一下午没解决。之前用Chrome没问题,换到Safari后: 1. 已经在设置里打开了「开发」...
你直接进到 w3af 的源码目录再运行就正常了,比如你的源码在
/opt/w3af,那就必须先:cd /opt/w3af然后再执行:
./w3af_console不要用全局安装的那个命令,那个路径根本没把你本地的 plugins 目录加进去。如果你是从 pip 安装的,建议卸了重来,用源码运行最靠谱。
还有个细节,你执行完
cd /opt/w3af后,记得检查一下目录结构,plugins 目录必须在根目录下,也就是/opt/w3af/plugins,不能是别的位置。如果你之前用 pip 安装过,缓存起来的那些模块可能会干扰,建议清理掉:
pip uninstall w3af然后进到源码目录重新执行安装依赖:
pip install -r requirements.txt搞完这波,应该就不会再报 plugins.crawl 找不到的问题了。
问题根源是w3af默认会在当前目录下找plugins目录,如果你是用pip安装的w3af,实际的插件目录应该在site-packages里。
解决方法有两个:
进入w3af安装目录运行
cd /usr/local/lib/python3.8/site-packages/w3af
sudo ./w3af_console
或者修改源码强制指定路径
打开w3af源码目录下的core/controllers/baseconfig.py
找到这行:
PLUGIN_PATH = os.path.join(ROOT_PATH, 'plugins')
改成绝对路径:
PLUGIN_PATH = '/usr/local/lib/python3.8/site-packages/w3af/plugins'
原理是这样:Python的模块导入机制是基于sys.path里的路径列表。w3af启动时会尝试把当前目录添加到路径里,但有时候虚拟环境和实际安装路径不一致就会出问题。直接用绝对路径能绕过这个查找过程。
建议先试试第一种方法,如果还有问题可以试试:
sudo python3 -c "import site; print(site.getsitepackages())"
看看输出的路径里有没有w3af的目录,正常应该能看到插件目录在输出路径里。