不安全的HTTP方法

最新推荐文章于 2024-05-31 17:02:03 发布
最新推荐文章于 2024-05-31 17:02:03 发布
阅读量3w 收藏 5
点赞数 1
分类专栏: Web漏洞 文章标签: http restful java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36119192/article/details/89785356
版权

我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。

WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。

WebDAV虽然方便了网站管理员对网站的管理,但是也带来了新的安全风险!

  • PUT:由于PUT方法自身不带验证机制,利用PUT方法可以向服务器上传文件,所以恶意攻击者可以上传木马等恶意文件。
  • DELETE:利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。
  • OPTIONS:将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。
  • TRACE:可以回显服务器收到的请求,主要用于测试或诊断,一般都会存在反射型跨站漏洞

以下是WebDAV支持的HTTP请求方法。

方法      描述
GET       Get长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以&#
了解本专栏 订阅专栏 解锁全文 超级会员免费看
谢公子
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
ActiveMQ漏洞复现(不安全http方法具体利用)
嘻嘻哈哈
06-22 2791
1、搭建ActiveMQ环境 环境准备 jre安装及环境变量的配置: https://blog.csdn.net/tiantang_1986/article/details/53894947 下载有漏洞版本的ActiveMQ(我用的5.7.0) http://activemq.apache.org/download-archives.html 解压后进入bin目录,发...
关于HTTP中put方法安全的问题
weixin_45718351的博客
02-24 4279
PUT方法是否安全 我敢很确定的说,从http协议的角度来说,put方法并不存在是否安全的问题,它和其他的协议一样,只是标志为type不同(他们的http协议中字段是不同的,但是影响不大,只是浏览器的同源策略的问题)。HTTP他只是一个协议,一个规则。他自身没有是否安全,而不安全的只能说是设计的服务器不安全。 为什么说put方法安全 我大概查了一下,之所以会说put方法安全是因为服务设计的缺陷,导致的put方法安全,而让大众记住的是CVE-2017-12615这个安全漏洞。他存在于Tomcat 7.0
此网站无法提供安全连接/协议不受支持解决方法,注册tls1.2协议
最新发布
qq_43618249的博客
05-31 210
当你设置完了https访问网页出现下图报错,说明你的服务器不支持tls1.2协议。
(九)不安全HTTP方法
weixin_30394333的博客
06-12 914
01漏洞描述 《HTTP | HTTP报文》中介绍了HTTP的请求方法。在这些方法中,HTTP定义了一组被称为安全方法方法:GET、HEAD、OPTIONS、TRACE,这些方法不会产生什么动作,不会在服务器上产生结果,只是简单获取信息。相对的,能产生动作的方法就会被认为是不安全HTTP方法。 注意,安全方法不一定什么动作都不执行,比如在登陆时用GET方法传输数据,这个时候GET...
启用了不安全http方法漏洞
01-09
<http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <auth-method>BASIC ...
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
安全http方法、CSRF等漏洞修复问题
01-07
安全HTTP 方法、CSRF 等漏洞修复问题 在本文中,我们将讨论不安全HTTP 方法、CSRF 漏洞等问题的修复方法。 一、敏感信息泄露 敏感信息泄露是指攻击者可以通过访问网站目录直接下载文件,进入别的网页,...
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
安全测试-渗透测试-不安全http方法问题及解决方案.doc
Web应用安全HTTP方法.pptx
06-17
HTTP方法 HTTP方法 HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法:OPTIONS, ...
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3534
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
WEBSHELL姿势之不安全HTTP方法(渗透实验)
forbidd3n,keep going
10-25 4524
前言 Web服务器(以IIS为例)在没有任何设置是,使用OPTIONS命令,可以返回所有能够响应的HTTP方法,如OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK。 实验要求 任务:获取目标机上的两个文件(key1.txt和key2.txt),在C盘的根目录下存储有两个敏感文件(key1.txt,key2.
前后端分离开发,RESTful 接口应该这样设计
程序员闪充宝
02-22 148
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达译者 |唐尤华https://dzone.com/refcardz/rest-foundations-restful前言RE...
浅谈“不安全HTTP方法
→_→
05-22 2392
漏洞名称: 不安全HTTP方法危险HTTP方法 描述: 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 其他说明方式如图所示: 检测条件: 已知Web网站IP地址及Web访问端口 Web业务正常运行 检测方法: 点击“开始”-“运行”,输入cmd并回车,运行nc
Go语言经典库使用分析(三)| Gorilla Handlers 详细介绍
flysnow_org的博客
08-06 368
Go语言经典库使用分析,未完待续,欢迎扫码关注公众号flysnow_org或者网站http://www.flysnow.org/,第一时间看后续系列。觉得有帮助的话,顺手分享到朋友圈吧,...
go http put请求_MIT 6.824 Lecture2和Go的GPM模型
weixin_30135925的博客
12-27 208
Prerequisite for Lecture2课程要求通过该网站熟悉GO语言,有其它语言基础熟悉一下还是很快的。恕我见识短浅,第一次见到Go的设计颠覆三观orz。在课程之外,我也整理了一下Go的GPM模型,更有利于理解Go的从语言层面支持的多线程。西瓜学习:Go的GPM多线程调度​zhuanlan.zhihu.com使用Go的理由 Go有垃圾回收且类型安全(自动确定最后一个线程何时结束一个对象...
go的http详解
wade1991的专栏
04-29 3530
Go提供了一个完善的net/http包用于搭建web服务器,同时http能很简单的对web的路由进行 设置和操作。
Go | Go 发送 http 请求: post,get,put,delete请求示例代码
双鬼带单
02-07 2752
Go 发送 http 请求: post,get,put,delete请求示例代码 HTTP 请求方法 请求示例 GET POST kv 形式 PUT PATCH DELETE 源码参考 HTTP 请求方法 根据 HTTP 标准,HTTP 请求可以使用多种请求方法。 在日常开发中大多数会用到 5 种请求方法: GET、POST、PUT、PATCH 和 DELETE 方法 描述 GET 请求指定的页面信息,并返回实体主体。 POST 向指定资源提交数据进行处理请求(例.
安全http方法漏洞
11-11
安全HTTP方法漏洞是指Web应用程序中使用了不安全HTTP方法,攻击者可以利用这些方法来执行未授权的操作或者获取敏感信息。常见的不安全HTTP方法包括PUT、DELETE、TRACE等,这些方法可能会导致跨站追踪攻击(XST)或者其他安全问题。 攻击者可以通过发送特制的HTTP请求来利用不安全HTTP方法漏洞,例如使用PUT方法上传恶意文件或者使用DELETE方法删除重要文件。为了防止不安全HTTP方法漏洞,开发人员应该遵循最小权限原则,只允许必要的HTTP方法,并对这些方法进行严格的身份验证和授权。 以下是一些防止不安全HTTP方法漏洞的建议: - 禁用不必要的HTTP方法,例如PUT、DELETE、TRACE等。 - 对于必须使用的HTTP方法,进行严格的身份验证和授权。 - 对于上传文件等操作,对文件类型和大小进行限制。 - 对于WebDAV等协议,进行额外的安全措施,例如使用SSL加密通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值