常见的HTTP请求方法有GET、POST和HEAD,除此以外还有WebDAV请求方法。WebDAV是一项基于 Http1.1 协议的通信协议。它扩展了HTTP 1.1,在Get、Post、Put、Delete 等HTTP标准方法外添加了新方法,使应用程序可对Web Server直接读写。
PUT | 向指定的目录上传文件 |
DELETE | 删除指定的文件 |
COPY | 将指定的资源复制到Destination消息头指定的位置 |
MOVE | 将指定的资源移动到Destination消息头指定的位置 |
SEARCH | 在一个目录路径中搜索资源 |
PROPFIND | 获取与指定资源有关的信息,如作者、大小与内容类型 |
TRACE | 在响应中返回服务器收到的原始请求 |
以上的方法都属于WebDAV的请求方法。
严格来说这个不算是Web服务器的漏洞,而是配置不当引起的安全风险,下面以Tomcat搭建环境,演示“启用了不安全的HTTP方法”渗透测试过程。
环境搭建
环境所需安装包 下载地址 : Tomcat v7.0.47 http://archive.apache.org/d ist/tomcat/tomcat-7/v7.0.47/bin/