问题标签 [crlf-vulnerability]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 寻找执行网站安全审计的工具
我正在为客户建立一个网站。他要我对网站进行安全审计。我没有安全审计方面的专业知识,预算也很低。但是,我正在努力为我的客户提供最大的价值。有没有什么工具可以低成本地对网站进行安全审计?
crlf-vulnerability - Npm 漏洞问题未修复?
我正在使用黑鸭子扫描节点模块。大多数漏洞问题使用 npm-force-resolutions 修复。但是一些库漏洞问题无法修复。此库未添加到 package.json 和 package-lock.json 中,但无法理解为什么它会显示在漏洞扫描摘要报告中。此外,npm 审计对我的项目也不起作用。
您能否建议我们如何解决此问题?
提前致谢!!
c# - 输入验证和表示 - 标头操作:Cookies- C# Cookies - 标头
Fortify 报告了以下问题 Input Validation and Representation - Header Manipulation: Cookies
我试图通过添加更多细节来解决,如 cookie 过期等。仍然没有任何效果。任何帮助将不胜感激。谢谢!
newline - 什么是 CRLF 和 LF?Git中的用例是什么?
我是新探索 git 命令,突然发现 LF 和 CRLF。运行命令 git add 时,终端显示如下:
LF 将在 app.js 中被 CRLF 替换。该文件将在您的工作目录中具有其原始行结尾
- 它是关于什么的?
node.js - 为路径解析 Prisma Cloud 获取 node.js 的图像漏洞错误
在 docker image scan post build 中获取 node.js 的路径解析的图像漏洞错误。
节点版本:12.16.1 图片:alpine3:3.10.2
漏洞图像扫描错误
修复状态 :1.0.7
所有版本的包路径解析都容易受到通过 splitDeviceRe、splitTailRe 和 splitPathRe 正则表达式的正则表达式拒绝服务 (ReDoS) 的攻击。ReDoS 表现出多项式最坏情况时间复杂度。
我尝试了以下命令来解决此问题。
但是在代码更改后,两个命令都尝试了, docker build 仍然扫描显示相同的结果。
请让我知道是否有针对此问题的任何指示。
参考:https ://www.npmjs.com/package/path-parse
提前致谢。
performance - 在 OWASP Benchmark 中生成安全工具之间比较的正确结果的问题
我在生成结果以在用于扫描 OWASP 基准的工具之间进行比较时遇到问题。作为第一步,我使用几个工具对基准进行了扫描,它成功了,我生成了 xml 文件。
我将 xml 文件复制到 OWASP 基准测试的结果文件夹中,但是当我createscorecards.bat用来生成比较结果时,它们没有显示正确的结果。
结果,这些工具没有检测到漏洞(0%),有些工具甚至没有出现在结果中,它显示了一个错误解析器。你能帮我解决这个问题吗?
我使用的工具有:OWASP ZAP、Spotbugs、burp suite pro、Visual Code Grepper、SnappyTick、Appscan go
crlf-vulnerability - CVSS 分数会随时间变化吗?如果是,请分享一个相同的例子
CVSS 分数会随时间变化吗?是否有任何漏洞可以作为示例,其 CVSS 随时间而变化?
security - 本地到云漏洞扫描
我们在本地网络的共享子网中有漏洞扫描软件。我们现在正在添加托管在公共云上的 VM,并且需要对它们执行漏洞扫描。一种选择是打开从本地到公共云的单向流量,以便扫描程序可以访问所有虚拟机。所以所有端口都将对虚拟机开放(在一个方向上)。这是可取的吗?在子网中运行 vul 扫描软件,这样在本地和云之间根本不需要允许任何流量,不是更好吗?例如,与 VM 在同一子网中运行的扫描仪可以将结果推送到 dmz 中的中央扫描仪服务器。采用公共云的公司如何解决这个问题?
crlf-vulnerability - Kiuwan如何处理“网页生成过程中输入的不正确中和”漏洞
我正在用 Kiuwan 分析我的代码,然后在控制器类中我得到以下漏洞
网页生成期间输入的不正确中和(“跨站点脚本”)
ASVS-v4.0.2:5.3.3 CERT-J:IDS51-J CWE:79 CWEScope:Access-Control CWEScope:Availability CWEScope:Confidentiality CWEScope:Integrity CWETOP25:2021:2 essential OWASP:2021:A3 PCI-DSS:6.5。 7 黄蜂:08
当我进一步传播时,它指向 HttpServletRequest 这是我的方法参数:
如何删除此漏洞?
c# - 如何允许换行符但仍防止 CRLF 攻击?
我已经在我的服务器上运行了安全扫描并收到了一些 CRLF 漏洞利用警告。
因此,按照建议,我已经清理了所有查询参数输入,如下所示。
假设一个真正的用户通过“地址”查询参数向我发送地址。
例子 -
由于将从上述字符串中删除“%0A”,因此地址现在将变为“24HouseRoadSomePlaceCountry”,这不是我的预期。
我应该如何处理?如果我对 CRLF 进行代码更改,这会改变输入的解释方式。如果输入字符串没有被清理,那么它将打开我的服务器进行 CRLF 攻击。
这里有什么建议吗?