漏洞描述
GET、POST是最为常见方法,而且大部分主流网站只支持这两种方法,因为它们已能满足功能需求。
漏洞危害
OPTIONS方法,将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。
漏洞证明
将post方法改为options方法,发现请求成功
首先我们要问问开发登录的请求方法用了哪些?如果只有POST和GET的话,我们往下试验
例如我们在登录界面正常来说是POST请求,我们将POST改为其他的请求方式,如OPTIONS,发现可以访问,那么就存在不安全的HTTP请求方法
我让开发公司改了之后输入OPTIONS就没有任何回显了
又是愉快水报告的一天
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.