墨菲安全在IDEA中的使用

墨菲安全在IDEA中的使用

https://www.murphysec.com/control/test

一、首先下载了JetBrains IDEA

二、注册账号，我下载的是试用版，获取了一个token验证码，给注册的邮箱发送获取就进去了。（这一步就不多说了）

三、墨菲在IDEA中的下载（在插件中下载）

四、墨菲的使用

1、认证

2、使用

3、结果（分数越高代表安全系数越低）

4、漏洞描述

needle 存在Authorization请求头泄露漏洞

处置建议: 建议修复

漏洞级别: 中

影响版本: [0.1.0, 3.1.0)

最小修复版本: 3.1.0

外部是否有公开利用工具: 是

漏洞描述:

needle 是 一款流式传输的HTTP客户端

needle 没有对重定向后的请求头做过滤处理，会把第一次请求的 Authorization 请求头也传递到重定向后的服务，导致 Authorization 请求头泄露。

攻击者可利用该漏洞被动窃取用户的 Authorization 数据。

组件引入路径:

teach_parents_prot@0.1.0->less@4.1.2->needle@2.9.1

testMofei@->needle@2.9.1

参考链接:

https://www.oscs1024.com/hd/MPS-2022-7866

https://github.com/tomas/needle/issues/385

< 漏洞信息由 murphysec 提供 ，项目详细报告：https://www.murphysec.com/dr/j1eUvWV9ZzblR5Wyy3 >

五、结果

墨菲安全 | 为您提供专业的软件供应链安全管理

最后就会在所登录注册的账号下显示已经检测过的项目