BP(burpsuite)測試不安全的HTTP請求
啟用了不安全的HTTP方法,可能會導致攻擊者非授權在Web 服務器上上傳、修改或刪除Web 頁面、腳本和文件等。
使用curl測試:
curl -v -X OPTIONS http://www.example.com/test/
查看響應的 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
但是這次使用bp進行爆破 http請求 測試:
1.在bp中的爆破模塊選擇請求方式
2.payloads中選擇simple list ,在下面字典添加中add from list直接選擇 http verbs。
3.可以看到幾乎所有的請求方式都添加上去了,點擊start進行爆破吧。
正常情況下,直接在repeater里修改請求方式為options就可以看到allow 的請求方式,但是害怕有漏網之魚就可以使用這種方法。