漏洞描述:在服務(wù)器返回的HTTP頭中泄露服務(wù)器信息
測試方法:burpsuite渣触,fiddler齿诉,瀏覽器F12查看響應(yīng)包的信息
如果要查詢的網(wǎng)址太多了嗦锐,一百一萬那么這樣做橄霉,明顯不是很方便窃爷,因此可以寫個腳本,進行批量查詢姓蜂,
代碼如下:將要查詢的url放在一個txt按厘,和腳本文件在同一目錄,執(zhí)行即可
import?sys
import?requests
#從命令行獲取url
#url?=?sys.argv[1]
#自定義user-agent
header?=?{"User-Agent":"Mozilla/5.0?(compatible;?Baiduspider/2.0;?+http://www.baidu.com/search/spider.html)"}
#定義查詢server信息的函數(shù)
def?get_url_server(url):
????try:
????????url_html?=?requests.get(url,headers?=?header,timeout=0.5)
????????url_server?=?url_html.headers['Server']
????????print(url+"\t的Server是:\t"?+?url_server)
????except?IOError:
????????print("Error?,please?again")
if?__name__?==?"__main__":
????with?open("url.txt",'r')?as?f:
????????url_list?=?f.readlines()
????????for?i?in?url_list:
????????????get_url_server(i[:-1])
