HTTP Analyzer Std V2 抓包工具判断网站是否存在不安全的HTTP请求,TRACE等漏洞
[ 2016-10-11 11:29:00 | 作者: admin ]
p.s. 打开HTTPAnalyzer ,然后点菜单中 Actions -> http/https request builder ,操作如下图显示。
需要说明的是:虽然win服务器安装了urlscan,关闭了TRACE,但是测试中urlscan如果允许OPTIONS的时候,得到的参数还是允许TRACE,不清楚原因。扫描软件应该也是使用OPTIONS来判断,所以关闭了OPTIONS应该就扫描不出来了
禁止OPTIONS之后
1、服务器返回405不允许的方法,就是web服务器上直接不允许
2、服务器返回404的话,其实是urlscan做了禁止操作
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2349
需要说明的是:虽然win服务器安装了urlscan,关闭了TRACE,但是测试中urlscan如果允许OPTIONS的时候,得到的参数还是允许TRACE,不清楚原因。扫描软件应该也是使用OPTIONS来判断,所以关闭了OPTIONS应该就扫描不出来了
禁止OPTIONS之后
1、服务器返回405不允许的方法,就是web服务器上直接不允许
2、服务器返回404的话,其实是urlscan做了禁止操作
[最后修改由 admin, 于 2018-08-15 20:53:24]
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2349
这篇日志没有评论。
此日志不可发表评论。
