不安全的HTTP方法

最新推荐文章于 2024-05-01 13:34:28 发布
最新推荐文章于 2024-05-01 13:34:28 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: Web安全 经验知识总结 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/124621009
版权

文章目录

一、常见的HTTP请求方法如下

  • GET:Get长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以 ?分隔,多个参数用 & 连接,请求指定的页面信息,并返回实体主体。
  • HEAD:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头。
  • POST:长度一般无限制,由中间件限制,较慢,安全,URL里不可见。请求的参数在数据包的请求body中。
  • PUT:向指定资源位置上传其最新内容。
  • DELETE:请求服务器删除指定的页面。
  • CONNECT:HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
  • OPTIONS:返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向WEB服务器发送’*'的请求来测试服务器的功能性。
  • TRACE:回显服务器收到的请求,主要用于测试或诊断。

如下图展示:
在这里插入图片描述

二、请求方式安全隐患

  • PUT:由于PUT方法自身不带验证机制,利用PUT方法可以向服务器上传文件,所以恶意攻击者可以上传木马等恶意文件。
  • DELETE:利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。
  • OPTIONS:将会造成服务器信
了解本专栏 订阅专栏 解锁全文 超级会员免费看
李火火安全阁
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
web渗透--12--不安全HTTP方法
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
安全http方法、CSRF等漏洞修复问题
01-07
安全HTTP 方法、CSRF 等漏洞修复问题 在本文中,我们将讨论不安全HTTP 方法、CSRF 漏洞等问题的修复方法。 一、敏感信息泄露 敏感信息泄露是指攻击者可以通过访问网站目录直接下载文件,进入别的网页,...
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3513
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
2024年网安最全不安全HTTP方法
最新发布
2401_84266016的博客
05-01 131
(6)GET请求会被浏览器主动cache,而POST不会,除非手动设置。(7)GET在浏览器回退时是无害的,而POST会再次提交请求。(1)GET 和 POST,用的都是同一个传输层协议,所以在传输上没有区别。(2)GET 方法 和 POST都可以传输实体的主体 (但一般不用GET方法进行传输,而是用POST方法;虽然GET方法和POST方法很相似,但是POST的主要目的并不是获取响应的主体内容)。
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 1557
安全HTTP请求 漏洞原理以及修复方法
安全http方法
热门推荐
秋水的博客
09-06 1万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNEC...
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
安全测试-渗透测试-不安全http方法问题及解决方案.doc
Web应用安全HTTP方法.pptx
06-17
HTTP方法 HTTP方法 HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法:OPTIONS, ...
4.1.HTTP网络请求原理
深情小建
09-18 651
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
解决安全扫描HTTP的不安全方法
li_liu10的博客
11-26 1726
解决 安全扫描 HTTP的不安全方法
检测到目标存在不安全请求方法
u012465383的博客
01-12 3575
漏洞描述          Web 服务器在没有任何设置是,使用 OPTIONS 命令,可以返回所有能够响应的 HTTP 方法,如 OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 。这些方法可能表示在服务器上启用了webdav,可能允许未授权的用户对其进行利用。          的子元素是可选的,如果没有 元
如何禁用不安全请求方式
jam__zheng的博客
10-12 2409
HTTP请求1.0支持:post  get  head HTTP请求1.1的时候支持了:put delete  options trace connect 可以自行禁止使用哪些请求,只需要在web.xml中添加配置信息: <security-constraint>      不通过编程就可以限制对某个资源的访问         <web-resource-collectio...
安全http方法漏洞
11-11
常见的不安全HTTP方法包括PUT、DELETE、TRACE等,这些方法可能会导致跨站追踪攻击(XST)或者其他安全问题。 攻击者可以通过发送特制的HTTP请求来利用不安全HTTP方法漏洞,例如使用PUT方法上传恶意文件或者使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值