中间件版本信息泄露漏洞
《Web安全测试学习手册》- 中间件版本信息泄露漏洞
0x00 中间件版本信息泄露漏洞
1)什么是中间件版本信息泄露漏洞
通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞。
2)中间件版本信息泄露漏洞的特点
通常出现在默认安装好的Web中间件上,大部分管理员都不会修改这个标志。
0x01 中间件版本信息泄露漏洞 - 风险等级
低
0x02 中间件版本信息泄露漏洞 - 原理
由于各大Web服务中间件为了打造品牌效应而在HTTP响应头中添加了标志信息、版本号。
0x03 中间件版本信息泄露漏洞 - 常见场景
Tomcat
Nginx
Apache
IIS
… 均有此类现象
0x04 测试方案
使用CURL发送OPTIONS、GET、POST、HEAD等请求,查看响应头中的Server行
命令:curl -I -X GET http://payloads.online