目前是不支持文件下载漏洞检测吗？ #1689

mayi077 · 2022-12-02T08:56:47Z

xray开启代理模式，访问文件下载漏洞靶场，无法识别到漏洞。
后续看到未对这个接口扫描，请问这是什么情况？

mayi077 · 2022-12-02T10:22:06Z

测试如下，使用浏览器代理去xray，xray代理去burp。在浏览器输入恶意网址，burp只抓到一个放行的包，未进行测试。

补充: 这个网站的其他接口都会测试，就这个不扫。使用主动扫描模式 -u 指定这个接口可以扫出问题目录穿越约等于文件下载（是不是有什么规则，不扫描这类接口？）

Jarcis-cy · 2022-12-07T10:45:53Z

可能是因返回包过大导致的，因为在配置文件中有一个配置参数是max_resp_body_size，这个参数是最大允许的响应大小, 默认 2M，所以师傅可以将这个参数放大，看是否可以进行扫描

mayi077 · 2022-12-07T11:22:51Z

可能是因返回包过大导致的，因为在配置文件中有一个配置参数是max_resp_body_size，这个参数是最大允许的响应大小, 默认 2M，所以师傅可以将这个参数放大，看是否可以进行扫描

hi，谢谢师傅回答。这里我将 max_resp_body_size 加大后仍然不行，下载的图片只有2kb。测试环境为pikachu 靶场的不安全下载

Jarcis-cy · 2022-12-08T02:41:52Z

好的，我尝试复现一下

Jarcis-cy · 2022-12-08T04:01:51Z

我测试了一下，应该是个bug，感谢反馈，我们处理一下

mayi077 · 2022-12-15T03:09:26Z

师傅，这里已经看出了是啥原因吗？能简单介绍下吗？想学习学习

Jarcis-cy · 2022-12-22T09:16:17Z

暂时还没有

Jarcis-cy added the bug Something isn't working label Dec 8, 2022

Provide feedback