Sunucu Tarafından Desteklenen Metodların ve XST Zafiyetinin Tespiti

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Hedef sistemde desteklenen HTTP metodlarını ve potansiyel XST zafiyetini tespit etmek.

Araç:

  • netcat

Adımlar:

  • Aşağıdaki tabloda verilen komut ile hedef sisteme bağlanılır.
nc hedefip hedefport
  • Netcat ekranına;
OPTIONS /uygulama/ HTTP/1.0

yazılıp iki kere enter tuşuna basılarak istek gönderilir.

  • Dönen cevapta “Allow” parametresinde yazan metotlar belirtilen yol için destekleniyor demektir. Eğer desteklenen metodların arasında “TRACE” varsa, uygulamada bulunabilecek bir XSS zafiyetinde çerezlerin alınmasını önlemek için “http-only” bayrağı aktif edilmiş olsa bile TRACE metodu kullanılarak çerezler alınabilir.

Kaynak:[değiştir]