openrasp icon indicating copy to clipboard operation
openrasp copied to clipboard
verified publisher icon baidu

IAST灰盒扫描扫不出XSS漏洞,是否需要自行添加xss的hook

Open ruanyr opened this issue 4 years ago • 2 comments

启动iast灰盒扫描工具后,管理台上面看只有命令执行、任意文件读取、任意文件写入、SQL注入4种漏洞,无法扫出其他漏洞。 从openrasp-iast的Preprocessor.log日志中看出hook_info获取为空。 日志如下:"querystring": "password=&username=&BenchmarkTest02578=SafeText", "url": "https://localhost:8443/benchmark/xss-05/BenchmarkTest02578", "method": "get", "path": "/benchmark/xss-05/BenchmarkTest02578"}, "hook_info": [], "plugin_version": "2019-1220-1800"}

若想扫出xss漏洞是否需要自行添加XSS hook、新增编写xss_userinput_basic.py插件?

ruanyr avatar Aug 09 '21 08:08 ruanyr

XSS不依赖hook点,所以用黑盒扫描器检测即可。另外,目前开源版本的IAST没有做XSS支持。

CaledoniaProject avatar Aug 21 '21 03:08 CaledoniaProject

启动iast灰盒扫描工具后,管理台上面看只有命令执行、任意文件读取、任意文件写入、SQL注入4种漏洞,无法扫出其他漏洞。 从openrasp-iast的Preprocessor.log日志中看出hook_info获取为空。 日志如下:"querystring": "password=&username=&BenchmarkTest02578=SafeText", "url": "https://localhost:8443/benchmark/xss-05/BenchmarkTest02578", "method": "get", "path": "/benchmark/xss-05/BenchmarkTest02578"}, "hook_info": [], "plugin_version": "2019-1220-1800"}

若想扫出xss漏洞是否需要自行添加XSS hook、新增编写xss_userinput_basic.py插件?

可以把插件的发包代理到xray yak这类工具也能满足你的需求

k4n5ha0 avatar Apr 08 '22 01:04 k4n5ha0