Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

POC问题 #32

Closed
TerickJojo opened this issue Jul 14, 2022 · 7 comments
Closed

POC问题 #32

TerickJojo opened this issue Jul 14, 2022 · 7 comments

Comments

@TerickJojo
Copy link

请问是否考虑将fscan POC加入进来,最近发现扫描结果有差异,比如说spring的heapdump,fscan能扫出来而vscan没有

谢谢大佬
@veo
Copy link
Owner

veo commented Jul 14, 2022

您好
fscan 采用的是xray v1版本的POC,vscan采用的是v2版本,所以有些不同,可在xray官方对比一下。

至于xray v2为啥抛弃了heapdump这个poc,我也不清楚,可能是觉得局限于敏感信息泄露,危害不大。

抛开POC不一样的问题,vscan有敏感文件扫描功能是能扫描到heapdump的

@TerickJojo
Copy link
Author

您好 fscan 采用的是xray v1版本的POC,vscan采用的是v2版本,所以有些不同,可在xray官方对比一下。

至于xray v2为啥抛弃了heapdump这个poc,我也不清楚,可能是觉得局限于敏感信息泄露,危害不大。

抛开POC不一样的问题,vscan有敏感文件扫描功能是能扫描到heapdump的

您好
这是spring的扫描对比,上面vscan没扫出heapdump,下面fscan扫出来了
image
image

所以才会有这样的顾虑

@veo
Copy link
Owner

veo commented Jul 14, 2022

image
我这边扫没啥问题。这个POC我觉得作用不大,不添加了,遵循xray v2版本

@TerickJojo
Copy link
Author

好的,谢谢大佬

@TerickJojo
Copy link
Author

TerickJojo commented Jul 16, 2022
edited

您好,
发现替换了自己的字典重新编译运行之后,不会再进行相关爆破功能,比如说FUZZ路径和账号密码爆破。
能否考虑加个参数来自定义导入呢
谢谢

@TerickJojo TerickJojo reopened this Jul 16, 2022
@veo
Copy link
Owner

veo commented Jul 16, 2022

下个版本加入自定义字典功能和参数

@TerickJojo
Copy link
Author

TerickJojo commented Jul 16, 2022
edited

或者多加一个禁用爆破功能
谢谢大佬

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@TerickJojo @veo