HTTP Analyzer Std V2 抓包工具判断网站是否存在不安全的HTTP请求,TRACE等漏洞
[ 2016-10-11 11:29:00 | 作者: admin ]
p.s. 打开HTTPAnalyzer ,然后点菜单中 Actions -> http/https request builder ,操作如下图显示。
需要说明的是:虽然win服务器安装了urlscan,关闭了TRACE,但是测试中urlscan如果允许OPTIONS的时候,得到的参数还是允许TRACE,不清楚原因。扫描软件应该也是使用OPTIONS来判断,所以关闭了OPTIONS应该就扫描不出来了
禁止OPTIONS之后
1、服务器返回405不允许的方法,就是web服务器上直接不允许
2、服务器返回404的话,其实是urlscan做了禁止操作
需要说明的是:虽然win服务器安装了urlscan,关闭了TRACE,但是测试中urlscan如果允许OPTIONS的时候,得到的参数还是允许TRACE,不清楚原因。扫描软件应该也是使用OPTIONS来判断,所以关闭了OPTIONS应该就扫描不出来了
禁止OPTIONS之后
1、服务器返回405不允许的方法,就是web服务器上直接不允许
2、服务器返回404的话,其实是urlscan做了禁止操作
1
