Open NickYan7 opened 2 years ago
很棒的项目!
使用过程中发现通过 Burp 代理扫描可能会造成误报。某些 IP 访问不可达,最后输出的是 Burp 的报错页面,但 status_code 是 200,原代码逻辑会认为是存在漏洞的,但实际上并没有收到目标站点的响应包。(测试时都是 CVE-2018-2894 和 CVE-2019-2725 误报)
可以优化下逻辑,判断返回的是否是 Burp 的报错页面(如下图):
判断 Console Address 也有相同的问题。
NickYan7
commented
2 years ago NickYan7
commented
2 years ago
很棒的项目!
使用过程中发现通过 Burp 代理扫描可能会造成误报。某些 IP 访问不可达,最后输出的是 Burp 的报错页面,但 status_code 是 200,原代码逻辑会认为是存在漏洞的,但实际上并没有收到目标站点的响应包。(测试时都是 CVE-2018-2894 和 CVE-2019-2725 误报)
可以优化下逻辑,判断返回的是否是 Burp 的报错页面(如下图):