安全测试用例:检查是否存在不安全的HTTP方法

于 2024-10-12 08:15:00 发布
阅读量707 收藏 3
点赞数 13
分类专栏: 软件测试 文章标签: 安全性测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39879324/article/details/142847075
版权

1、用例描述:检查是否存在不安全的HTTP方法

2、前提条件:Web服务器运行正常

3、测试步骤:

   手工构造HTTP报文测试:

   a.点击“开始”-“运行”,输入cmd并回车,运行cmd.exe

   b.输入telnet IP 端口 (其中IP和端口按实际情况填写,用空格隔开,比如:telnet 111.111.111.111 8080)

   c.回车

   d.在新行中输入如下一行,并回车

    OPTIONS / HTTP/1.0

   e.检查返回结果中的Allow的方法不包含不安全的方法

   返回结果样例:

   HTTP/1.1 200 OK

   Server: Apache-Coyote/1.1

   X-Powered-By: Servlet 2.4; nginx-4.0.5.GA (build: CVSTag=Branch_4_0    date=200231231231)/Tomcat-5.5

   Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS

   Content-Length: 0

   Date: Mon, 29 Jun 2032 01:12:17 GMT

   Connection: close

备注:

    手工测试仅以构造OPTIONS方法为例,如果OPTIONS方法被服务器禁止,请手工构造DELETE、PUT、TRACE、MOVE、COPY等不安全方法报文。

4、预期结果:

不包含不安全的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY)

海淀夏雨荷
关注
专栏目录
xxx系统安全测试用例模板
LYX_WIN
06-18 412
1.使用该测试用例前,需要确定针对测试系统,哪些用例需要采用,哪些不采用,不采用用例需要标注原因;2.部分功能可以不用自己测试,问一下开发同事就可以确定。
安全HTTP请求方法与编程实践
PixelNinja的博客
08-13 143
本文将探讨一些不安全HTTP请求方法,并给出相应的编程实践,以确保应用程序的安全性。在编写应用程序时,我们应该遵循安全的编程实践,尤其是在处理HTTP请求方法的时候。通过正确地使用适当的HTTP请求方法以及添加适当的身份验证和授权机制,我们可以有效地减少应用程序面临的风险,并提高数据的安全性。请记住,本文提供的代码示例仅为演示目的,并未考虑所有可能的安全问题。在实际应用中,建议参考相关的安全指南和最佳实践,进行详细的安全审查和测试,以确保应用程序的安全性。不安全HTTP请求方法与编程实践。
安全HTTP方法测试
cj_Hydra's Blog
09-08 2950
前言: 我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。 We
安全HTTP方法
LuckySec
11-01 3404
安全HTTP 方法一般包括:PUT、DELETECOPY、MOVE、SEARCH、PROPFIND、TRACE 等。不合理的权限配置可能导致网站被攻击者非法入侵。使用Burpsuite抓取网站数据包,修改请求包的方法为OPTIONS,响应包中出现PUT、DELETETRACE等不安全HTTP 方式。
(一)安全测试实施:安全测试通用用例整理
gzytester的博客
03-11 3159
安全测试通用用例整理通用安全测试用例SQL注入漏洞SQL注入 S0命令注射漏洞 S0跨站脚本攻击(XSS)跨站脚本攻击(XSS)S0文件任意上传文件任意上传 S0表单漏洞测试表单漏洞测试 S1Cookie欺骗Cookie欺骗 S1越权用户权限控制 S1页面权限控制 S1sessionSession互窜 S1Session超时 S1日志记录的完整性日志记录的完整性 S1信息安全用户信息 S2系统信息 S3数据库安全数据库名称和存放位置安全 S3数据库本身的安全 S3数据使用时的一致性和完整性测试 S3数据库访
华为安全用例基线AW库.rar
03-26
通过配置核查脚本,可以检查操作系统是否存在潜在的安全漏洞,防止攻击者利用系统弱点进行入侵。 5. Protocol类安全用例基线: 网络协议的安全性关乎到数据传输的完整性,如HTTPHTTPS、FTP等。协议安全用例基线...
WEB安全性测试测试用例.pdf
09-27
- 会话管理不安全,例如提到了“Cookies”,这暗示了测试用例应该检查应用程序的会话令牌是否安全,比如是否使用了HTTPS传输、令牌是否易受预测攻击等。 - 输入验证不当,例如“htmljavascript<html>”、“”等,...
启用了不安全http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
软件测试需求及测试用例汇总表1
08-08
- 容错性测试检查系统在遇到错误时是否能正常运行而不崩溃。例如,如果系统在执行过程中遇到异常情况,测试将确认系统是否能正确报告错误而不会导致程序崩溃。 5. **可扩展性测试**: - 可扩展性测试评估软件在...
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 4119
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
安全HTTP方法,面试复盘
最新发布
m0_61068088的博客
04-06 873
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
给“钓鱼网站“做一次安全测试
qq_44894994的博客
11-24 1050
给“钓鱼网站”做一次安全测试
Tomcat启动了不安全HTTP方法解决办法
liangpingguo的博客
10-27 3589
一、漏洞描述: 目标服务器启用了不安全的传输方法,如PUT、TRACEDELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。
Web安全测试详解:关键环节与工具应用
- **认证测试**的各个环节着重于用户身份验证的完整性和安全性,包括测试验证机制的有效性,以及是否存在漏洞让攻击者轻易获取或篡改用户信息。 此文档提供了全面的Web应用安全测试框架,不仅关注漏洞扫描,还涵盖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值