全局配置 Header 头默认配置问题

CLincat / vulcat

vulcat可用于扫描Web端常见的CVE、CNVD等编号的漏洞，发现漏洞时会返回Payload信息。部分漏洞还支持命令行交互模式，可以持续利用漏洞

GNU General Public License v3.0

124 stars 17 forks source link

Closed FeatherStark closed 10 months ago

FeatherStark commented 10 months ago

全局配置 config.yaml 的请求头配置了Content-Type: "application/x-www-form-urlencoded" 会导致 get 请求发不出去

CLincat commented 10 months ago

如图所示，工具 vulcat 中的各类 GET 请求并未受到影响，是指哪个特定的 PoC 有问题吗？

CLincat commented 10 months ago

在 GET 请求中携带请求标头 Content-Type: application/x-www-form-urlencoded 是比较常见的。

FeatherStark commented 10 months ago

自己写的POC，会导致一些站get包发不出去

FeatherStark commented 10 months ago

POST中Content-Type: application/x-www-form-urlencoded加上这个正常，但可能会影响GET发包，建议还是去掉为好

CLincat commented 10 months ago

原来如此，谢谢你的建议，我会考虑和实测一下的。

另外，如有需要，你可以在编写 PoC 时提供 “headers” 参数，同名的请求标头将会覆盖默认的标头。如图所示：

FeatherStark commented 10 months ago

好的