W3af扫描时自定义请求头没生效,如何排查?
最近在用W3af测试公司API,需要给所有请求加User-Agent和X-Token头。按照文档在setup.conf里设置了headers参数:
headers = {"User-Agent": "MyScanner/1.0", "X-Token": "abc123"}
但扫描时抓包发现请求头没带上这些,控制台还报错”Invalid header value type”。尝试过把双引号换成单引号、把参数写成列表形式都不行,折腾了一晚上没进展。是不是哪里配置格式错了?或者需要启用特定插件才能生效?
- 1
回答
25浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
- 1
回答
29浏览
Draft.js自定义块渲染时样式丢失怎么办?
在用Draft.js自定义块渲染器时,给代码块添加的CSS样式完全没生效,页面上还是默认的样式。已经按照文档写了blockRendererFn: const blockRenderer = (bloc...
- 1
回答
19浏览
W3af扫描显示SQL注入漏洞,但手动测试没问题,哪里出错了?
用W3af扫描公司登录接口时,它提示存在SQL注入漏洞,但我在Postman里试了' OR '1'='1之类的payload完全没反应。后端用了参数化查询,是不是W3af误报了? 我按教程配置了gre...
- 2
回答
74浏览
W3af扫描时插件加载失败怎么办?
用w3af_console扫描目标时老是报错"Plugin not found",折腾了半天没解决。按照官方文档装了所有依赖,运行w3af_console后选择插件扫描就直接报错了。 错误提示是:Tr...
- 2
回答
46浏览
使用Affix固定侧边栏时,为什么bottom距离不生效?
在用Element UI的Affix组件固定侧边栏时,设置了bottom="20",但滚动到页面底部后侧边栏还是贴着底边,没有保持距离。之前用top属性没问题,这该怎么调试啊? 我试过在组件里加了st...
- 2
回答
30浏览
Affix固钉组件在滚动时定位失效,如何解决?
我在用Ant Design的Affix组件固定侧边栏导航时,当页面滚动到一定高度后固钉失效了,元素突然回到原来位置。已经设置position: fixed,但滚动到底部时又恢复正常... 尝试过调整t...
- 1
回答
4浏览
WAF配置后还是能绕过SQL注入?预编译查询没用?
我给API加了预编译查询和WAF规则,但测试时发现用OR 1=1 UNION SELECT这种payload还是能获取数据库表名。WAF规则用了黑名单过滤了单引号和分号,但用户输入“%df%”时居然返...
- 1
回答
8浏览
Safari调试时为什么无法在控制台看到console.log输出?
我在用Safari调试移动端网页时,明明写了console.log('测试'),但控制台完全没反应,折腾了一下午没解决。之前用Chrome没问题,换到Safari后: 1. 已经在设置里打开了「开发」...
- 2
回答
11浏览
为什么我的Affix组件在滚动到指定位置时没有触发固定?
我用Ant Design的Affix组件给侧边栏做固定效果,设置了offsetTop=200,但实际滚动到200px时并没有触发固定状态。之前尝试用console.log跟踪didUpdate钩子,发...
- 1
回答
17浏览
Affix固钉组件在滚动时没有固定定位怎么办?
我在用Ant Design的Affix组件做侧边栏固定,但滚动到设置的offset位置时,组件并没有固定住。已经按文档设置了offsetTop=200,代码也看起来没问题: <a-affix :...
推荐的做法是改成这样:
字典格式确实会报"Invalid header value type"错误,因为框架底层处理时会检查类型。抓包没带请求头就是这个配置没生效导致的。
改完配置后记得开debug模式验证:
另外不需要启用插件,核心引擎自带这个配置项。建议升级到最新版w3af,配置格式更友好。