问题标签 [crlf-vulnerability]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

40 问题

0 投票

0 回答

83 浏览

security - 如何解决 Jenkins 中的跨站脚本 (XSS) 漏洞

我在端口 9043 上运行的 Linux 服务器上使用独立的最新 Jenkins 战争。

安全审计团队报告了以下 Jenkins URL 的“跨站点脚本 (XSS)”漏洞。

“64_Salve”恰好是我几年前配置的 Jenkins 从节点代理。

作为概念证明，他们分享了以下内容：

使用代理工具拦截请求并修改请求，如图所示。在浏览器中查看响应时，将下载文件，如图所示。

然后有一个弹出窗口提示打开保存的“python”文件。

您能否建议我如何解决此漏洞？

2020-06-30T06:39:35.220

0 投票

1 回答

425 浏览

security - Jenkins 中 HTTP 404 页面 URL 的自定义页面

我的 Jenkins 在 https://myhost:9043 上运行，使用 Linux 上的独立战争和以下命令。

但是，当我尝试使用以下 URL 表示https://myhost:9043/<any random text>资源 uri 显然找不到时。

但是，问题是我在浏览器中的输出为

我不想透露 Jetty 版本。

有没有办法为不正确的 URI 显示自定义错误页面，从而避免泄露 Jetty 版本？如果不是，我可以以某种方式隐藏 Jetty 版本以不显示给匿名用户吗？

我不是纯 Java 程序员，只是 DevOps 管理员。

security jenkins jetty http-status-code-404 crlf-vulnerability

2020-06-30T20:12:35.417

0 投票

1 回答

658 浏览

security - How to add HTTP Headers to Jenkins

I run the latest jenkins as a standalone as below.

We used self-signed SSL certificate. When we access the Jenkins console and observe the HTTP response headers we see critical HTTP headers missing like for example X-XSS-Protection

We do not use or plan to use any web proxy but like to access the Jenkins URL directly https://localhost:9043

I already read this article but it does not seem to have any solution: https://issues.jenkins-ci.org/browse/JENKINS-24548

Can you please suggest how can i add the X-XSS-Protection for say to my Jenkins?

security jenkins http-headers crlf-vulnerability

2020-07-01T09:04:10.290

0 投票

2 回答

1067 浏览

java - 如何更改此代码以使其容易受到 CRLF 注入的影响？

我创建了一个简单的spring web项目，项目中只有一个Controller，其代码为：

然后我尝试使用 curl 触发 CRLF 注入漏洞，如下所示：

但是所有通过 CRLF 返回的都被替换为空间：

那么，我如何编写一段易受 CRLF 注入攻击的代码呢？可能是因为Tomcat或Spring过滤了我的输入参数，所以这不起作用？但是我一直追踪代码，没有得到任何看起来像过滤器的代码。

我的 pom.xml 文件是：

java spring security websecurity crlf-vulnerability

2020-08-31T09:55:20.603

0 投票

2 回答

134 浏览

spring - Sonatype 扫描显示依赖关系超过 10 年

我是nexus IQ问题的新手。当 Sonatype 的 Nexus IQ 扫描以下组件时，我得到“依赖关系超过 10 年”的限制。

组件名称：

蚂蚁：蚂蚁：2.7.7

javax.xml：jaxp-api：1.4.2

org.codehaus.jettison：抛弃：1.2

org.json : json : 20080701

我没有明确提到 pom.xml 中的任何上述依赖项。此外，应用程序中的任何地方都没有提到 JSON 版本。

spring constraints sonatype crlf-vulnerability

2020-09-28T11:02:24.497

0 投票

1 回答

3116 浏览

java - 在 Veracode (CWE 117) 中使用 slf4j LOGGER 时出现 CRLF 注入漏洞

这是一个 slf4j 记录器，我一直在尝试使用 2 个消息参数记录错误。

SSG_TIMEOUT.getErrorText()结果为字符串"TimeOut error encountered"

我用过的东西

手动清理代码
StringEscapeUtils.escapeJson(String errorMessage)
附加字符串的字符串生成器 +escapeJson(StringBuilder.toString())

我仍然在我的 veracode 报告中看到了这个问题。

有什么建议么？

java security veracode crlf-vulnerability

2020-12-01T08:17:33.010

0 投票

1 回答

134 浏览

java - Spring Java 应用程序的拒绝服务 ReadLine 漏洞

在我的 Spring Java 应用程序中，扫描工具显示拒绝服务漏洞：ReadLine forModelAttribute ("someFormBean")

这是什么意思？如何解决这个问题？

java spring request-mapping denial-of-service crlf-vulnerability

2021-03-04T19:12:59.803

0 投票

0 回答

559 浏览

security - 如何防止外部服务交互 (DNS)

漏洞修复的含义是什么以及如何实现它。请指教。谢谢你。

(1)建议实施允许服务和主机的白名单，并阻止任何未出现在此白名单上的交互。

(2) 建议阻止应用服务器对其他内部系统的网络访问，并对应用服务器本身进行加固以移除本地环回适配器上的任何可用服务

security penetration-testing crlf-vulnerability

2021-03-10T13:59:43.497

0 投票

0 回答

144 浏览

security - 如何修复弱 TLS 1.2 加密

我需要在 Windows Server 2016 中禁用以下弱 TLS 密码。我尝试重新搜索并显示“Microsoft SCHANNEL 团队不支持直接操作注册表中的组策略和默认密码套件位置”请告知。先感谢您。

security iis penetration-testing crlf-vulnerability

2021-03-15T00:43:26.323

0 投票

0 回答

299 浏览

android - Android 应用因跨应用脚本漏洞而被拒绝

我的应用被 Play 商店拒绝，说存在 webview 漏洞（跨应用脚本漏洞）。

在做了一些研发之后，我在使用 webview 的活动中添加了“android:exported=false”。

但是，由于跨应用脚本漏洞，我再次从 Playstore 收到了相同的 App 被拒绝。

谁能建议我我们需要做些什么来克服这个问题并需要部署到游戏商店。

提前致谢。

android google-play android-webview crlf-vulnerability

2021-03-23T04:43:27.073

1 2 3 4 5 6 7 8 9 10

问题标签 [crlf-vulnerability]

Reference