## title:豪华轿车预订软件v1.0 -CORS
##作者: nu11secur1ty
## date: 09/08/2023
## Vendor: https://www.phpjabbers.com/
## Software: https://www.phpjabbers.com/limo-booking-software/#sectiondemo
##参考: https://portswigger.net/web-security/cors
## Description:
该应用程序实现HTML5交叉原始资源共享
(CORS)此请求的策略,该策略允许从任何域中访问。
该申请允许从请求的来源访问http://wioydcbiourl.com
由于响应中不存在Vary:原点头,因此反向
代理和中间服务器可能会缓存。这可能使
攻击者进行缓存中毒攻击。攻击者可以得到
受害者的一些软件资源没有受害者
知道这一点。
状态:高脆弱性
[+]测试有效载荷:
````````
get /1694201352_198/index.php?controller=pjfrontPublicaction=pjactionfleetslocale=1index=2795
http/1.1
host: demo.phpjabbers.com
Accept-incoding: Gzip,放气
ACCEPT: /
Accept-Language: en-us; q=0.9,en; q=0.8
用户代理: Mozilla/5.0(Windows NT 10.0; Win64; X64)
Applewebkit/537.36(Khtml,像壁虎一样)Chrome/116.0.5845.141
Safari/537.36
连接:关闭
cache-control: max-age=0
Origin: http://wioydcbiourl.com
Referer: http://demo.phpjabbers.com/
sec-ch-ua:'.not/a)品牌'; v='99','google chrome'; v='116','chromium'; v='116'
sec-ch-ua-platform:窗口
sec-ch-ua-mobile:0
````````
##复制:
[HREF](https://github.com/nu11secur1ty/cve...rs/phpjabbers/2023/limo-booking-software-1.0)
##证明和Exploit:
[HREF](https://www.nu11secur1ty.com/2023/09/limo-booking-software-cors.html)
##时间花费:
00:35:00
##作者: nu11secur1ty
## date: 09/08/2023
## Vendor: https://www.phpjabbers.com/
## Software: https://www.phpjabbers.com/limo-booking-software/#sectiondemo
##参考: https://portswigger.net/web-security/cors
## Description:
该应用程序实现HTML5交叉原始资源共享
(CORS)此请求的策略,该策略允许从任何域中访问。
该申请允许从请求的来源访问http://wioydcbiourl.com
由于响应中不存在Vary:原点头,因此反向
代理和中间服务器可能会缓存。这可能使
攻击者进行缓存中毒攻击。攻击者可以得到
受害者的一些软件资源没有受害者
知道这一点。
状态:高脆弱性
[+]测试有效载荷:
````````
get /1694201352_198/index.php?controller=pjfrontPublicaction=pjactionfleetslocale=1index=2795
http/1.1
host: demo.phpjabbers.com
Accept-incoding: Gzip,放气
ACCEPT: /
Accept-Language: en-us; q=0.9,en; q=0.8
用户代理: Mozilla/5.0(Windows NT 10.0; Win64; X64)
Applewebkit/537.36(Khtml,像壁虎一样)Chrome/116.0.5845.141
Safari/537.36
连接:关闭
cache-control: max-age=0
Origin: http://wioydcbiourl.com
Referer: http://demo.phpjabbers.com/
sec-ch-ua:'.not/a)品牌'; v='99','google chrome'; v='116','chromium'; v='116'
sec-ch-ua-platform:窗口
sec-ch-ua-mobile:0
````````
##复制:
[HREF](https://github.com/nu11secur1ty/cve...rs/phpjabbers/2023/limo-booking-software-1.0)
##证明和Exploit:
[HREF](https://www.nu11secur1ty.com/2023/09/limo-booking-software-cors.html)
##时间花费:
00:35:00