search

chaitin / xray

一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档
https://docs.xray.cool
Other
10.39k stars 1.83k forks source link

HTTP配置中关闭POST请求,Webhook请求无法发送。 #1432

Closed wzw19890321 closed 7 months ago

wzw19890321 commented 3 years ago

【问题现象】 HTTP配置中关闭POST请求,Webhook请求无法发送。 按照我的理解,关闭POST请求应该是指不去扫描接收到的POST请求?

【Xray版本】

[xray 1.7.1/f725e41e]
Build: [2021-03-18] [linux/amd64] [RELEASE/COMMUNITY]
Compiler Version: go version go1.15.6 linux/amd64

【复现过程】 在HTTP配置中去除POST请求

  allow_methods:
  - HEAD
  - GET
  - PUT
  - PATCH
  - DELETE
  - OPTIONS
  - CONNECT
  - TRACE
  - MOVE
  - PROPFIND

启动命令

./xray_darwin_amd64 --config /tmp/test/13-Xray-NO-POST.yaml webscan --listen 0.0.0.0:38888 --webhook-output http://0.0.0.0:9091/webhook_test

Webhook的数据无法发送

[WARN] 2021-10-20 14:43:45 [default:client.go:172] method POST not allowed for url http://0.0.0.0:9091/webhook_test
virusdefender commented 3 years ago

嗯,是的,但是现在 webhook 的 http client 和漏洞扫描是一个(比如会共享代理、http header 等),所以也会收到影响。之后可以尝试优化下这个问题。

Jarcis-cy commented 7 months ago

xray2.0中的go插件编写可以通过订阅漏洞事件实现灵活的输出,将不会存在这些问题