由于对web编程不是很熟悉,谨以此文分享给学习WebGoat但是web编程底子不好的小伙伴。
HTTP的Method中有专为调试Web Server连接的(TRACE/TRACK),但正式上线运行的WebServer如果支持Trace/Track方式,则一定存在跨站攻击漏洞。RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards 值的网关。”
练习1:(IE 9)
(由于IE7以后open不支持TRACE方法(见参考资料1),此处使用GET方法)