Replies: 1 comment
-
|
@gemmi 请问能提供 所使用的 jdk 版本以及 tomcat 版本? 另一,是否可以提供相关的漏洞(需要恶意 payload 才能显示的)以供我们复现问题。 |
Beta Was this translation helpful? Give feedback.
0 replies
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Uh oh!
There was an error while loading. Please reload this page.
-
已部署好iast 1.3.0版本,下载openrasp官方测试用例集合并放入tomcat启动,大部分漏洞可以检出,但009 - Transformer 反序列化,和017 - XSS - 017 - 反射型XSS无法被检出。
另外1,有个问题请教下,有的漏洞是在正常请求时可以检出,有的必须在有恶意payload的情况下才能检出,这是为什么?按道理iast的原理是通过污点传播分析,而不是靠payload重放来检测漏洞的呀。
另外2,反射型xss的正常请求和异常请求,都无法检出,希望能进一步定位,是否有排查的方法?
Beta Was this translation helpful? Give feedback.
All reactions