Web安全测试实战之测试HTTP方法

 Http方法测试

有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。

测试方法:

1、打开webscarab,找到manual request这个标签

2、在Request的Parsed的Method中填入OPTIONS

3、在URL中填入我们的待测环境中的一个静态页面

4、在Version中填入HTTP/1.0  或者HTTP/1.1

5、完善好之后点击fetch Response按钮

6、查看其响应

 Http Put方法测试

有些Web服务器开放了PUT方法,攻击者能够通过该方法上传任意文件到Web服务器的一些目录中去。包括Web木马程序。

测试方法:

1、打开webscarab,找到manual request这个标签

2、在Request的Parsed的Method中填入PUT

3、在URL中填入待测试环境下一个存在目录下的一个不存在的文件

4、在Version中填入HTTP/1.0  或者HTTP/1.1

5、完善好之后点击Parsed旁边的Raw标签

在内容的尾部添加2个回车

并随便输入点内容

6、完成之后点击fetch Response按钮

7、查看其响应

8、去服务器的对应目录上检查是否出现相应文件

三、   Http Trace方法测试:

有些Web服务器开放了TRACE方法(主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息),攻击者能够通过该方法构造跨站攻击。

测试方法同前面的OPTION和PUT方法

Method:TRACE

URL:任意待测试环境的URL

Version:HTTP/1.0或HTTP/1.1

四、 Http Delete方法:

有些Web服务器开放了DELETE方法,攻击者能够通过该方法删除Web服务器上的文件。

测试方法同前面的OPTION和PUT方法

Method:DELETE

URL:任意需要删除的页面

version:HTTP/1.0或HTTP/1.1

作者:jz

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值