关于HTTP中put方法不安全的问题

最新推荐文章于 2024-06-22 09:47:40 发布
最新推荐文章于 2024-06-22 09:47:40 发布
阅读量4.2k 收藏 2
点赞数 3
分类专栏: 开发问题 文章标签: tomcat http java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45718351/article/details/114019786
版权

PUT方法是否安全

我敢很确定的说,从http协议的角度来说,put方法并不存在是否安全的问题,它和其他的协议一样,只是标志为type不同(他们的http协议中字段是不同的,但是影响不大,只是浏览器的同源策略的问题)。HTTP他只是一个协议,一个规则。他自身没有是否安全,而不安全的只能说是根据http设计的服务器是不安全,是服务器存在的bug。

为什么说put方法不安全

我大概查了一下,之所以会说put方法不安全是因为服务设计的缺陷,导致的put方法不安全,而让大众记住的是CVE-2017-12615这个安全漏洞。他存在于Tomcat 7.0.0 ~ 7.0.79这几个版本的服务器中,在之后的版本已经把这个问题修复了。所以现在的tomcat并不会出现put不安全的问题。而对于其他服务器例如nginx是否安全,我没有细察。但是我想这么严重的问题应该已经修复了。

总结

如果因为以前有问题现在就否定他,一味的说put方法不安全,却说不出哪里不安全,那就是耍流氓。

Francis.Sun
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全HTTP方法
谢公子的博客
05-03 3万+
我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。 WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Ser...
http的PUT、DELETE不安全
u014644574的博客
12-19 9701
本文主要记录我们的讨论过程及结论,具体测试代码就不贴了。 一、背景 最近研发让我开一下服务器的put、delete方法,被我以不安全http方法给拒绝了。 研发表示我很无理,put怎么就是不安全的了,在他看来,put和post只是语义上的不同。如果put是不安全方法,那么post也是不安全方法了。 网上的说法也是分为两派,一派说这些都是不安全方法,要关掉;另一派说它们只是语义上的区别,不存在安不安全。 二、一探究竟 经过我和研发各自编写测试用例来论证后,我明白了为什么会有这样的分歧:我是
探秘put2win:自动化HTTP PUT方法漏洞利用工具
gitblog_00084的博客
06-22 269
探秘put2win:自动化HTTP PUT方法漏洞利用工具 项目地址:https://gitcode.com/devploit/put2win 在网络安全的边缘,有一款强大的开源工具——put2win,正等待着勇敢的探索者来发掘其潜力。这是一款专为自动化PUT HTTP方法漏洞利用而设计的脚本,旨在网络安全研究与渗透测试领域开辟新的战场。 项目介绍 put2win,简洁而直击要害的名字下隐藏着强大...
面试官:你说 HashMap 线程不安全,它为啥不安全呢?
石杉的架构笔记
11-26 839
扫描下方海报试读本文来源:http://cnblogs.com/developer_chan/p/10450908.html我们都知道HashMap是线程不安全的,在...
PUT/DELETE 为何成了 HTTP 协议的不安全方法
weixin_46099455的博客
08-28 6499
由于 Nginx 在设计时,或许是为了减轻小白的上手难度,在开启 WebDAV 时没有强制要求用户必须配置访问认证,这导致了某些 SB 用户在公网上开启了 WebDAV 而没有进行认证配置,从而导致了安全问题。导致服务器上的数据泄露或获取服务器权限。总结: PUT/DELETE 在 HTTP 协议是否安全主要跟代码逻辑相关,并非是使用了这种方法就造成访问不安全,由于代码是运行在容器,如果容器配置不当,会导致一些安全风险,安全工程师并不理解代码背后的逻辑,从而将 PUT、DELETE 给一刀切了。...
restful:put操作资源可能存在的安全问题
w3741332的博客
11-07 4851
REST定义:REST(Representational State Transfer ),有文翻译为"具象状态传输"(也有:"代表性状态传输")。是由 Roy Thomas Fielding博士 在2000年就读加州大学欧文分校期间在学术论文提出的一个术语。他首次系统全面地阐述了REST的架构风格和设计思想。这篇论文是Web发展史上一篇非常重要的技术文献,他也为WEB架构的设计与评判奠定了理
lsof |grep delete卡住_【1029】put/delete不要用,不安全
weixin_40006133的博客
11-07 927
一直想写一下这个话题,但是每次都忘记没有时间写;在最开始问题的出现,是以前的一个客户说,你们为什么要用 put/delete 方法?这很不安全;我随便上传个文件都能上传,这样服务器毒风险很高。从运维安全方面来说,的确,能随便上传个有毒脚本上去不就被执行了吗?那么索性就禁用 put/delete 方法。这个观点先不讨论,先看规范。在 RFC1945 /1996 年 http 1.0 定...
安全http方法、CSRF等漏洞修复问题
01-07
在本文,我们将讨论不安全HTTP 方法、CSRF 漏洞等问题的修复方法。 一、敏感信息泄露 敏感信息泄露是指攻击者可以通过访问网站目录直接下载文件,进入别的网页,访问网站目录可直接下载文件,进入别的网页。...
关于HTTP推送的一些问题
02-25
超文本传输协议(HypertextTransferProtocol,简称HTTP)是应用层协议。HTTP是一种请求/响应式的协议,即一个客户端与服务器建立连接后,向...常用的HTTP请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNE
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
### 安全测试与渗透测试的不安全HTTP方法问题及解决方案 #### 一、问题背景与概述 在现代网络环境,网络安全已经成为企业和组织关注的重点之一。其HTTP协议作为Web应用的基础,其安全性尤为重要。然而,在...
http请求方法的概述及应用.pdf
最新发布
07-06
- **应用**:由于安全性和隐私问题,TRACE方法在实际应用很少使用。 8. **CONNECT方法**: - **概述**:用于将连接转换为管道方式的代理服务器。CONNECT方法要求在与代理服务器通信时建立到由目标资源URI指定的...
Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
weixin_45653478的博客
05-02 1156
在Apache Tomcat服务器,PUT方法通常用于上传文件。攻击者可以通过发送PUT请求,将恶意文件上传到服务器。当攻击者发送PUT请求时,Tomcat服务器会将请求的数据写入指定的文件。如果攻击者能够控制文件路径,那么他们可以将恶意文件写入任意位置,从而实现任意文件写入。
等保问题处理
qq_36486417的博客
09-02 1321
在nginx的server配置,禁用options请求,即仅仅让GET、POST类型请求通过,其余不安全的请求方式返回403状态码,代码如下。安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最不要使用,他们认为不安全。在Nginx里还可以通过指定一个SERVER_NAME名单,只有这符合条件的允许通过,不符合条件的返回403状态码。检测应用是否在请求目标站点时返回的URL是直接将Host头拼接在URI前。
危险的HTTP PUT
zhaji001
12-13 5098
Web服务器上启用了HTTP PUT方法,配置不当可以直接上传后门文件到服务器,直接getshell。 测试环境: 攻击机器:kali linux 靶机:metasploitables2 0x001 判断 #nmap 扫 80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) |_http-server-heade...
web渗透--12--不安全HTTP方法
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
HTTP的危险方法(不安全HTTP方法
weixin_45116657的博客
11-01 9416
友情链接: Web安全|为什么要禁止除GET和POST之外的HTTP方法? 不安全HTTP方法 我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。 WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GE...
Http协议的Delete和Put方法是做什么的?怎么用?
热门推荐
碧荷故乡_胡奇的专栏
01-08 10万+
一般来说,Web服务器默认的只支持Post和Get这两种“只读”的请求方法。但是随着Ajax XMLHttpRequest 和 REST风格应用的深入,我们发现Http 1.1协议还支持如下请求方法(Request Method):OPTIONSHEADDELETEPUTTRACECONNECTGet是最常用的,就
安全http方法漏洞
11-11
安全HTTP方法漏洞是指Web应用程序使用了不安全HTTP方法,攻击者可以利用这些方法来执行未授权的操作或者获取敏感信息。常见的不安全HTTP方法包括PUT、DELETE、TRACE等,这些方法可能会导致跨站追踪攻击(XST)或者其他安全问题。 攻击者可以通过发送特制的HTTP请求来利用不安全HTTP方法漏洞,例如使用PUT方法上传恶意文件或者使用DELETE方法删除重要文件。为了防止不安全HTTP方法漏洞,开发人员应该遵循最小权限原则,只允许必要的HTTP方法,并对这些方法进行严格的身份验证和授权。 以下是一些防止不安全HTTP方法漏洞的建议: - 禁用不必要的HTTP方法,例如PUT、DELETE、TRACE等。 - 对于必须使用的HTTP方法,进行严格的身份验证和授权。 - 对于上传文件等操作,对文件类型和大小进行限制。 - 对于WebDAV等协议,进行额外的安全措施,例如使用SSL加密通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值