Shikata Ga Nai

Private? There is no such things.

Burp Suiteで不要なHTTPメソッドをためしてみた

Hello there, ('ω')ノ

 

まずは、Mutillidae Ⅱのhomeへ。

 

f:id:ThisIsOne:20200203182557p:plain

 

Burp Suiteで右クリックして『Sent to Intruder』を。

 

f:id:ThisIsOne:20200203181009p:plain

 

いつものように一旦、すべてをクリアして。

ペイロード対象を追加して。

 

f:id:ThisIsOne:20200203181116p:plain

 

今回は、下記のワードをペイロードに追加して結果をみることに。

 OPTIONS
 HEAD
 POST
 PUT
 DELETE
 TRACE
 TRACK
 CONNECT
 PROPFIND
 PROPATCH
 MKCOL
 COPY

 

f:id:ThisIsOne:20200203181440p:plain

 

これも毎回お決まりで、エンコードを解除して。

 

f:id:ThisIsOne:20200203181519p:plain

 

『Start attaks』を押すと結果が。

ステータスが『200(正常処理)』に注目して。

『TRACE』や『TRACK』も許可されているので脆弱性ありかと。

 

f:id:ThisIsOne:20200203181810p:plain

 

Best regards, (^^ゞ