Skip to content

关于指纹识别的一个疑问 #22

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Closed
2415784120 opened this issue Jun 28, 2024 · 4 comments
Closed

关于指纹识别的一个疑问 #22

2415784120 opened this issue Jun 28, 2024 · 4 comments

Comments

@2415784120
Copy link

2415784120 commented Jun 28, 2024
edited
Loading

在进行批量泄露扫描的时候,如何先进行判断组件是否为springboot,如果不是springboot就不需要扫描了。我使用的时候是不管是不是springboot组件就全都扫了,导出的结果出现大量误报。是我的参数没给对吗
@AabyssZG
Copy link
Owner

目前对于Spring指纹识别一方面通过报错值进行识别,一方面通过站点ICO图标进行识别,在实战过程中是存在误报和漏报的情况的(比如关闭了默认报错),如果批量扫描上指纹识别,可能会导致部分Spring资产没有被扫到的情况😥
对于泄露扫描的准确率,我目前已经做了一些策略进行调整,能否提供误报的一两个地址给我做测试,我可以更进一步更新相应的匹配规则,感谢师傅的反馈😁

@2415784120
Copy link
Author

我扫的是内网资产,所以给不了测试地址。在使用springboot-scan.exe -uf xxx.txt好像就没有进行指纹识别,而是全都扫了。

@AabyssZG
Copy link
Owner

收到,因为考虑到上述情况,如果批量扫描上指纹识别,可能会导致部分Spring资产没有被扫到的情况😥
所以我不打算将指纹识别直接加入到批量扫描模块当中,如果师傅想要在批量扫描过程中进行指纹识别,那可以自己修改代码,或者提供一个更加准确的指纹识别方案🤔

目前对于Spring指纹识别一方面通过报错值进行识别,一方面通过站点ICO图标进行识别,在实战过程中是存在误报和漏报的情况的(比如关闭了默认报错),如果批量扫描上指纹识别,可能会导致部分Spring资产没有被扫到的情况😥 对于泄露扫描的准确率,我目前已经做了一些策略进行调整,能否提供误报的一两个地址给我做测试,我可以更进一步更新相应的匹配规则,感谢师傅的反馈😁

@2415784120
Copy link
Author

好的,感谢解答。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@AabyssZG @2415784120