HTTP头信息泄露

漏洞描述：在服务器返回的HTTP头中泄露服务器信息

测试方法：burpsuite，fiddler，浏览器F12查看响应包的信息

如果要查询的网址太多了，一百一万那么这样做，明显不是很方便，因此可以写个脚本，进行批量查询，

代码如下：将要查询的url放在一个txt，和脚本文件在同一目录，执行即可

import sys

import requests

#从命令行获取url

#url = sys.argv[1]

#自定义user-agent

header = {"User-Agent":"Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"}

#定义查询server信息的函数

def get_url_server(url):

    try:

        url_html = requests.get(url,headers = header,timeout=0.5)

        url_server = url_html.headers['Server']

        print(url+"\t的Server是：\t" + url_server)

    except IOError:

        print("Error ,please again")

if __name__ == "__main__":

    with open("url.txt",'r') as f:

        url_list = f.readlines()

        for i in url_list:

            get_url_server(i[:-1])