Closed ruanyr closed 2 years ago
启动iast灰盒扫描工具后,管理台上面看只有命令执行、任意文件读取、任意文件写入、SQL注入4种漏洞,无法扫出其他漏洞。 从openrasp-iast的Preprocessor.log日志中看出hook_info获取为空。 日志如下:"querystring": "password=&username=&BenchmarkTest02578=SafeText", "url": "https://localhost:8443/benchmark/xss-05/BenchmarkTest02578", "method": "get", "path": "/benchmark/xss-05/BenchmarkTest02578"}, "hook_info": [], "plugin_version": "2019-1220-1800"}
若想扫出xss漏洞是否需要自行添加XSS hook、新增编写xss_userinput_basic.py插件?
是的,需要自己编写py插件。xss hook可以使用response这个hook,参考线上插件
启动iast灰盒扫描工具后,管理台上面看只有命令执行、任意文件读取、任意文件写入、SQL注入4种漏洞,无法扫出其他漏洞。 从openrasp-iast的Preprocessor.log日志中看出hook_info获取为空。 日志如下:"querystring": "password=&username=&BenchmarkTest02578=SafeText", "url": "https://localhost:8443/benchmark/xss-05/BenchmarkTest02578", "method": "get", "path": "/benchmark/xss-05/BenchmarkTest02578"}, "hook_info": [], "plugin_version": "2019-1220-1800"}
若想扫出xss漏洞是否需要自行添加XSS hook、新增编写xss_userinput_basic.py插件?