漏洞等级 高危;漏洞名称 传输层保护不足
漏洞状态 未修复 忽略
发现时间
2020/09/11 10:37:13 GMT+08:00
所属域名
协会
目标网址
http://www.***.cn/login
POST http://www.***.cn/login HTTP/1.1
Host: www.***.cn
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:65.0) Gecko/20100101 Firefox/65.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded
Referer: http://www.***.cn/login
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Username=admin&Password=nm,k7&RememberMe=false
漏洞等级中危:攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息
漏洞状态 未修复 忽略
发现时间
2020/09/11 10:35:20 GMT+08:00
漏洞名称
不安全方法
所属域名
协会
目标网址
http://www.***.cn/quanzhanjiansuo?wd=661
漏洞简介
攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息
OPTIONS http://www.***.cn/quanzhanjiansuo?wd=661 HTTP/1.1
Host: www.***.cn
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Referer: http://www.***.cn/quanzhanjiansuo?ViewType=Review
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Cookie: ANKCOMMERCE.AUTH=6A948658DDDC646E6BE756287486EFF19B08074DD60EF1EEEB950DD51F9F7B9598ADA3F67A6A6A82364288B192F903B0FEC20CB6919D4EC1EEE33D797373799D3054F60A9E1322FE707C520D358BD366FBF2C8A778097442AE35FDF20E98BB5A
HTTP/1.1 200 OK
Allow: OPTIONS, TRACE, GET, HEAD, POST
Server: Microsoft-IIS/8.0
Public: OPTIONS, TRACE, GET, HEAD, POST
X-Powered-By: ASP.NET
Date: Fri, 11 Sep 2020 02:34:40 GMT
Content-Length: 0
IIS关闭Trace、OPTIONS方法
Response to preflight request doesn't pass access control check: It does not have HTTP ok status.
场景:前后端分离,接口请求的时候,一直报这个问题
原因:浏览器在发送get 、post、push、delete请求的时候,会先发送option请求和后端建立连接,如果后端没有对option请求作出相应,也会报此问题