(6)GET请求会被浏览器主动cache,而POST不会,除非手动设置。
(7)GET在浏览器回退时是无害的,而POST会再次提交请求。
GET和POST的相同之处
(1)GET 和 POST,用的都是同一个传输层协议,所以在传输上没有区别。
(2)GET 方法 和 POST都可以传输实体的主体 (但一般不用GET方法进行传输,而是用POST方法;虽然GET方法和POST方法很相似,但是POST的主要目的并不是获取响应的主体内容)。
3.其他不常见方法
二、不安全的HTTP方法及危害
在所有的HTTP方法中,安全界认为PUT、DELETE、TRACE是不安全的,另外WebDAV中的几个方法,RFC 5789中的PATCH方法也被认为是不安全的。(TRACE容易引发XST攻击,PATCH修改资源的部分内容,PUT/DELETE没有认证机制等)
1.OPTIONS
OPTIONS方法,将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。
2.PUT
PUT方法,由于PUT方法自身不带验证机制,利用PUT方法即可快捷简单地入侵服务器,上传Webshell或其他恶意文件,从而获取敏感数据或服务器权限。
3.DELETE
利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。
4.TRACE
TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以
利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie
等。
三、漏洞检测
1.正常访问抓取数据包。
2.修改请求包中的请求方法为OPTIONS,提交。
3.提交后,如果成功,响应包中会出现一个Allow字段,里面列出了URL指定资源所支持的方法列表。
但是在执行完以上步骤,看到响应包中Allow字段包含不安全方法就直接认定系统存在漏洞有些不太严谨,因此可以进一步验证是否真的存在该漏洞。
例如,Allow字段中包含TRACE方法,那么可以将OPTIONS方法改为TRACE再发包。若响应包主题中包含接收到的请求,则证明支持TRACE方法,系统存在不安全的HTTP方法漏洞;反之,发现服务器报错(一般不支持会报错405),则证明不支持TRACE方法,需要进一步验证漏洞是否存在。
四、漏洞利用
可以使用curl对部分方法进行利用,如PUT、DELETE等。
安装curl:
curl使用方法:
https://www.cnblogs.com/hbzyin/p/7224338.html
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
需要这份系统化资料的朋友,可以点击这里获取
包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
