连载·摸鱼指南第二集-启用了不安全的HTTP请求方法

杳若   ·   发表于 2022-05-05 16:31:07   ·   闲聊灌水区

启用了不安全的HTTP请求方法

 漏洞描述
GET、POST是最为常见方法,而且大部分主流网站只支持这两种方法,因为它们已能满足功能需求。
 漏洞危害
OPTIONS方法,将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。
 漏洞证明
将post方法改为options方法,发现请求成功

首先我们要问问开发登录的请求方法用了哪些?如果只有POST和GET的话,我们往下试验

例如我们在登录界面正常来说是POST请求,我们将POST改为其他的请求方式,如OPTIONS,发现可以访问,那么就存在不安全的HTTP请求方法

我让开发公司改了之后输入OPTIONS就没有任何回显了


又是愉快水报告的一天

打赏我,让我更有动力~

0 Reply   |  Until 5个月前 | 223 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.