web渗透--12--不安全的HTTP方法

已于 2023-07-16 19:19:36 修改
阅读量1.2w 收藏 11
点赞数 8
分类专栏: web渗透 文章标签: web安全 渗透测试 OWASP安全测试
于 2018-09-11 23:59:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/82634760
版权
本文探讨了不安全的HTTP方法如TRACE、PUT等带来的安全风险,特别是跨站跟踪攻击。提供了通过抓包工具检测服务器响应不必要HTTP方法的方法,并针对Apache、Microsoft IIS和Sun ONE Web Server提出了具体的修复措施,旨在增强Web应用的安全性。
摘要由CSDN通过智能技术生成

1、漏洞描述:

不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示:

方法 解释
PUT 向指定的目录上传文件
DELETE 删除指定的资源
COPY 将指定的资源复制到Destination消息头指定的位置
MOVE 将指定的资源移动到Destination消息头指定的位置
CONNECT 客户端使用Web服务器作为代理
PROPFIND 获取与指定资源有关的信息,如作者、大小与内容类别
TR
了解本专栏 订阅专栏 解锁全文 超级会员免费看
武天旭
关注
专栏目录
订阅专栏
安全HTTP方法
做自己喜欢的事,并将其发挥到极致!
05-07 2390
文章目录一、常见的HTTP请求方法如下二、请求方式安全隐患三、渗透攻击检测四、修复方案 一、常见的HTTP请求方法如下 GET:Get长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以 ?分隔,多个参数用 & 连接,请求指定的页面信息,并返回实体主体。 HEAD:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头。 POST:长度一般无限制,由中间件限制,较慢,安全,URL里不可见。请求的参数在数据包的请求body中。 PUT:向指定资源位置上传其最新内容。 DE
为什么要禁止除GET和POST之外的HTTP方法
emprere的博客
06-08 935
相关阅读:你的经历分配决定你人生的层次京东应用架构设计与治理互联网技术(java框架、分布式、集群)干货视频大全,不看后悔!(免费下载)最近老是听朋友说,被上级单位通报H...
HTTP请求方法:GET、POST、PUT和DELETE
最新发布
你若盛开,清风自来
08-05 1600
本文将介绍HTTP请求方法的概念、工作原理及其在实际项目中的应用,帮助读者更好地理解HTTP请求方法的重要性,提高前开发的效率。HTTP请求方法是实现数据交互和远程服务调用的关键。掌握GET、POST、PUT和DELETE等HTTP请求方法的使用方法,可以为前开发提供强有力的支持,提高开发效率。
安全http方法
热门推荐
秋水的博客
09-06 1万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNEC...
启用了不安全http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
Web渗透-网络安全面试 面试宝典 2023最新版65页超全解析.pdf
10-16
Web渗透测试是网络安全领域的重要部分,它涉及到对网站和应用程序的安全性进行模拟攻击,以发现潜在的漏洞并提出修复建议。这份"Web渗透-网络安全面试 面试宝典 2023最新版65页超全解析.pdf"文档详细涵盖了多个关键...
Web-安全渗透全套教程安全渗.zip
05-22
Web安全渗透是网络安全领域的重要组成部分,它涉及到对Web应用程序的漏洞探测、利用和修复过程。本教程涵盖了Web安全渗透的全面知识,旨在帮助学习者理解并掌握如何保护Web系统免受攻击。以下是对该主题的详细阐述:...
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
Web安全学习笔记-Web-Sec Documentation
01-30
文档教导读者如何通过网络入口、域名信息、口扫描和站点分析等方法来收集目标系统的初步情报,为后续的渗透测试安全评估做准备。 总的来说,这份Web-Sec Documentation是一份全面的Web安全指南,不仅包含了网络...
(九)不安全HTTP方法
weixin_30394333的博客
06-12 932
01漏洞描述 《HTTP | HTTP报文》中介绍了HTTP请求方法。在这些方法中,HTTP定义了一组被称为安全方法方法:GET、HEAD、OPTIONS、TRACE,这些方法不会产生什么动作,不会在服务器上产生结果,只是简单获取信息。相对的,能产生动作的方法就会被认为是不安全HTTP方法。 注意,安全方法不一定什么动作都不执行,比如在登陆时用GET方法传输数据,这个时候GET...
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3905
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户向服务器发送 DELETE 请求,并指定要删除的资源。
安全http方法
q908544703的博客
06-02 476
详情:系统启用了OPTIONS、DELETE、PUT不安全http方法 修改tomcat的conf目录下的web.xml 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87 ...
linux 测试http请求
04-29
在Linux系统中,测试HTTP请求的常用工具是curl和wget。 curl是一个功能强大的命令行工具,可以用于发送各种类型的HTTP请求。通过使用curl,你可以测试一个网站的响应速度、检查HTTP头文件和cookie,以及获取网页的内容。使用curl发送HTTP请求非常简单,只需要在终中输入以下命令: ``` curl <URL> ``` 其中,URL是你要测试请求的网站地址。如果需要添加HTTP头文件或cookie,可以使用-c和-H参数。 另一个常用的测试HTTP请求的工具是wget。与curl类似,wget可以用于下载HTTP和FTP的文件。在终中输入以下命令即可: ``` wget <URL> ``` 此外,wget还有一些可选参数,如-np表示不下载父目录、-P指定存储文件的目录等。 除了这两个工具,还有其他一些测试HTTP请求的工具,如ab、httpie等,可以根据需要进行选择。无论用什么工具,测试HTTP请求的目的都是为了优化网站的性能和用户体验,以提高网站的响应速度和流畅度。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值