不安全的HTTP方法(测试)

最新推荐文章于 2024-02-27 11:29:36 发布
最新推荐文章于 2024-02-27 11:29:36 发布
阅读量2.7k 收藏 6
点赞数
分类专栏: Web安全 文章标签: web htpp不安全的方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cj_allen/article/details/108470623
版权

前言:

我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。

WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。

WebDAV虽然方便了网站管理员对网站的管理,但是也带来了新的安全风险!

  • PUT:由于PUT方法自身不带验证机制,利用PUT方法可以向服务器上传文件,所以恶意攻击者可以上传木马等恶意文件。
  • DELETE:利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。
  • OPTIONS:将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。
  • TRACE:可以回显服务器收到的请求,主要用于测试或诊断,一般都会存在反射型跨站漏洞

以下是WebDAV支持的HTTP请求方法。

  • GET:Get长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以?分隔,多个参数用&连接,请求指定的页面信息,并返回实体主体。
  • HEAD:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头
  • POST:长度一般无限制,由中间件限制,较慢,安全,URL里不可见。请求的参数在数据包的请求body中
  • PUT:向指定资源位置上传其最新内容
  • DELETE:请求服务器删除指定的页面
  • CONNECT:HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
  • OPTIONS:返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性。
  • TRACE:回显服务器收到的请求,主要用于测试或诊断。

我们可以将请求方法设置为OPTIONS,来查看服务器支持的请求方法。
如下,我通过OPTIONS方法请求我自己的服务地址,从返回包里面可以看出来支持GET、POST、OPTIONS、HEAD、TRACE,这里是安全的。
在这里插入图片描述
但是有些网站开启了WebDAV,并且管理员配置不当,导致支持危险的HTTP方法,如下。该网站除了支持GET、POST、OPTIONS、HEAD之外,还支持 PUT、DELETE请求方法。
在这里插入图片描述

zhzhzh777
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
靶机漏洞报告.pdf
10-12
该文档 主要是针对靶机做的渗透测试报告,用的扫描工具是OpenVas
启用了不安全http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
安全HTTP方法
最新发布
Decaede的博客
02-27 1224
HTTP方法是一组用于与web服务器通信的协议命令。最常被用到的方法是:GET和POSTGET、POST和HEAD是HTTP 1.0定义的三种请求方法。OPTIONS、PUT、DELETE、TRACE和CONNECT是HTTP 1.1新增的物种方法
安全测试漏洞大全
weixin_45625450的博客
08-27 4440
建议在重置密码的功能点中,禁止仅以返回数据包中的标识作为跳转下一步的标识,更新密码时,再一次在服务端对用户身份进行校验,或直接使用服务端保存session进行对应用户密码的更新,加强验证码的校验机制,禁止反馈验证码到客户端,验证码不可复用,且存在较短的时效性。风险描述:俗称“贵宾犬”漏洞,此漏洞是针对SSL3.0中CBC模式加密算法的一种Padding Oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如Cookie,Session,则信息的安全则出现了隐患。..
2022-渗透测试-OWASP TOP10详细讲解
保持微笑的博客
01-26 1万+
1.sql注入 原理: SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。 ​ 分类: 1、报错注入 2、bool 型注入 3、延时注入 4、宽字节注入 ​ 防御: 1.使用预编译语句,绑定变量 2.使用存储过程 3.使用安全函数 4.检查数据类型 ​ 1.获取数据库名 select SCHEMA_NAME from information_schema
Kali渗透测试:网络数据的嗅探与欺骗
Liu_Bruce的博客
05-23 7721
Kali渗透测试:网络数据的嗅探与欺骗 无论什么样的漏洞渗透模块,在网络中都是以数据包的形式传输的,因此如果我们能够对网络中的数据包进行分析,就可以掌握渗透的原理。 另外,很多网络攻击的方法也都是发送精心构造的数据包来完成的, 如常见的ARP欺骗。利用这种欺骗方式,黑客可以截获受害计算机与外部通信的全部数据,如受害者登录使用的用户名与密码、发送的邮件等。 “The quieter you are the more you are able to hear”(你越安静,你能听到的越多)。如使用HTTP、FTP
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3224
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
安全HTTP方法漏洞验证测试
afei001
12-27 1662
目录 1.前言 2.不安全HTTP方法介绍 3.不安全HTTP方法漏洞验证 (1)使用curl工具验证 (2)Burp抓包验证 4.漏洞修复 1.前言 前两天在对目标网站进行安全测试时,偶然发现一处页面的请求头中允许了put、delete等不安全HTTP方法。这是不符合网站合规性要求的,一旦被攻击者利用很可能对业务造成影响甚至服务器沦陷。 2.不安全HTTP方法介绍 通常所说的HTTP安全方法有:trace、put、delete、copy等。...
安全http方法
热门推荐
秋水的博客
09-06 1万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNEC...
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
安全测试-渗透测试-不安全http方法问题及解决方案.doc
WEB安全测试分类及防范测试方法.docx
12-18
WEB安全测试分类及防范测试方法 1 Web 应用程序布署环境测试 2 1.1HTTP 请求引发漏洞的测试 2 1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试 2 2 应用程序测试 3 2.1 SQL 注入漏洞测试 3 ...
安全测试学习笔记一(Cookie&Session)
03-23
Session:含义:有始有终的一系列动作\消息1,隐含了“面向连接”和“保持状态”两种含义2,一种用来在客户端与服务器之间保持状态的解决方案3,也指这种解决方案的存储结构“把××保存在session里”二,http协议 ...
HTTP发包测试工具
12-31
开发的过程中,用到http的时候不少,请求一些网络参数,请求一下服务器列表等。 HTTP 发包工具 支持多种HTTP协议方法的发包, 包括GET,POST,PUT,DELETE,...学习HTTP协议的好工具,可用于安全测试、api接口测试数据。
信息安全_大型互联网自动化安全测试.pptx
08-14
原文地址 http://www.owasp.org.cn/OWASP_Events/20130525 自动化安全测试的目标和价值 降低线上漏洞 提高效率 ...自动化安全测试方法的期望 黑盒扫描 白盒扫描 规则更新 缺陷管理 流程优化 平台建设
web渗透--12--不安全HTTP方法
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
误码性能测试基础知识
TXNMG的博客
10-23 6866
在实际的传输中如出现误码,就有可能破坏HDB3的编码规则,称为编码误码,仪表可以测出传输过程中的编码误码,而编码的测试在一定程度上反映了传输中的误码情况。发送部分的码型发生器产生一个已知的测试数字序列,编码后送入被测系统的输入端,经过被测系统传输后输出,进入误码测试仪的接收部分解码并从接收信号中得到同步时钟,接收部分的码型发生器产生与发送部分相同的并且同步的数字序列,与接收到的数字信号进行比较,如果不一致便是误码。误码就是经接收判决再生后,数字码流的某些比特发生了差错,使传输信息的质量产生了损伤。
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 4176
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
fiddler进行安全测试
08-01
Fiddler是一款常用的网络调试工具,它可以用于进行网络安全测试。通过Fiddler,你可以捕获和分析网络流量,包括HTTPHTTPS请求。以下是一些使用Fiddler进行安全测试的常见方法: 1. 拦截和修改请求:Fiddler可以拦截并修改客户端发送的请求。你可以使用这个功能来测试应用程序的安全性,例如修改请求参数、添加恶意代码或注入攻击。 2. 检查和修改响应:Fiddler还可以拦截并修改服务器返回的响应。你可以使用这个功能来检查应用程序的安全性,例如查看响应中是否包含敏感信息、修改响应内容或检测安全漏洞。 3. SSL证书管理:Fiddler可以生成自签名的SSL证书,使你能够拦截和分析HTTPS流量。这对于测试应用程序的SSL安全性非常有用,可以检查是否存在SSL证书验证不当或中间人攻击等问题。 4. 脚本编写:Fiddler提供了一个强大的脚本编写功能,你可以使用脚本来自动化测试过程,例如模拟用户行为、进行压力测试或执行安全扫描。 需要注意的是,在进行安全测试时,你必须遵守法律和道德规范。确保你有合法的授权,并且只在合法的范围内进行测试。此外,建议在测试之前备份应用程序和数据,以防止意外的损失。 总结起来,Fiddler是一款功能强大的网络调试工具,可以用于进行安全测试。通过拦截和修改请求、检查和修改响应、SSL证书管理以及脚本编写等功能,你可以评估应用程序的安全性并发现潜在的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值