不安全的HTTP方法

WebDAV（web-based Distributed Auhoring and Versioning） 一种基于HTTP1.1协议的通讯协议。它拓展了HTTP1.1，在GET，POST，HEAD等请求方式的基础上添加了新的请求方法。

WebDAV安全隐患：

        PUT：由于PUT方法自身不带验证机制，利用PUT方法可以向服务器上传文件，攻击者可以上传木马等恶意文件。

        DELETE：利用DELETE方法可以删除服务器上特定的资源，造成恶意攻击

        OPTIONS：将会造成服务器信息泄露，如中间件版本，支持的HTTP方法等

        TRACE：可以回显服务器收到的请求，主要用于测试或诊断，一般动员会存在反射性跨站漏洞。

        WebDAV支持的HTTP请求方法

        

GET        Get长度限制为1024，特别快，不安全，在URL中可见，url提交参数以?分割，多个参数之间使用&进行连接，请求指定的页面资源，并返回实体主体。

HEAD       类似于get请求，只是返回的响应中没有具体的内容，用于获取报头。

POST       长度一般无限制，由中间件限制，较慢，安全，URL中不可见，请求的参数在数据包的请求体中。

PUT        向指定资源位置上传其最新内容

DELETE     请求服务器删除指定的页面

CONNECT    HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器

OPTIONS    返回服务器针对特定资源所支持的HTTP请求方法，也可以利用web服务器发送'*'的请求来测试服务器的功能性。

TRACE      回显服务器收到的请求，主要用于测试或诊断

可以将请求方法设置为OPTIONS，来查看服务器支持的请求方法。有些网站开启了WebDAV，由于管理员配置不当，导致支持危险的HTTP方法。

建议：

        禁止不必要的HTTP方法，只留下GET和POST方法