连载·摸鱼指南第二集-启用了不安全的HTTP请求方法

启用了不安全的HTTP请求方法

 漏洞描述
GET、POST是最为常见方法，而且大部分主流网站只支持这两种方法，因为它们已能满足功能需求。
 漏洞危害
OPTIONS方法，将会造成服务器信息暴露，如中间件版本、支持的HTTP方法等。
 漏洞证明
将post方法改为options方法，发现请求成功

首先我们要问问开发登录的请求方法用了哪些？如果只有POST和GET的话，我们往下试验

例如我们在登录界面正常来说是POST请求，我们将POST改为其他的请求方式，如OPTIONS，发现可以访问，那么就存在不安全的HTTP请求方法

我让开发公司改了之后输入OPTIONS就没有任何回显了

又是愉快水报告的一天