web渗透--12--不安全的HTTP方法

已于 2023-07-16 19:19:36 修改
阅读量1.2w 收藏 11
点赞数 8
CC 4.0 BY-SA版权
分类专栏: web渗透 文章标签: web安全 渗透测试 OWASP安全测试
于 2018-09-11 23:59:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wutianxu123/article/details/82634760
本文探讨了不安全的HTTP方法如TRACE、PUT等带来的安全风险,特别是跨站跟踪攻击。提供了通过抓包工具检测服务器响应不必要HTTP方法的方法,并针对Apache、Microsoft IIS和Sun ONE Web Server提出了具体的修复措施,旨在增强Web应用的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、漏洞描述:

不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示:

方法 解释
PUT 向指定的目录上传文件
DELETE 删除指定的资源
COPY 将指定的资源复制到Destination消息头指定的位置
MOVE 将指定的资源移动到Destination消息头指定的位置
CONNECT 客户端使用Web服务器作为代理
PROPFIND 获取与指定
了解本专栏 订阅专栏 解锁全文 超级会员免费看
安全HTTP方法
李同學的安全圈
05-07 2571
文章目录一、常见的HTTP请求方法如下二、请求方式安全隐患三、渗透攻击检测四、修复方案 一、常见的HTTP请求方法如下 GET:Get长度限制为1024,特别快,安全,在URL里可见,URL提交参数以 ?分隔,多个参数用 & 连接,请求指定的页面信息,并返回实体主体。 HEAD:类似于get请求,只过返回的响应中没有具体的内容,用于获取报头。 POST:长度一般无限制,由中间件限制,较慢,安全,URL里可见。请求的参数在数据包的请求body中。 PUT:向指定资源位置上传其最新内容。 DE
Web渗透-网络安全面试 面试宝典 2023最新版65页超全解析.pdf
10-16
Web渗透测试是网络安全领域的重要部分,它涉及到对网站和应用程序的安全性进行模拟攻击,以发现潜在的漏洞并提出修复建议。这份"Web渗透-网络安全面试 面试宝典 2023最新版65页超全解析.pdf"文档详细涵盖了多个关键...
安全http方法
热门推荐
秋水的博客
09-06 2万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNEC...
启用安全HTTP方法
最新发布
qq_30434271的博客
07-01 268
今天被安全检测出一个这样的问题:启用安全HTTP方法。DELETE方法是用来调试web服务器连接的http方式,支持该方式的服务器文件可能被非法删除;PUT方法用来向服务器提交文件;TRACE方法本用于客户测试到服务器的网络通路,通过允许客户知道请求链另一接收的时什么数据,然后利用那些数据进行测试或诊断。curl -X DELETE #你的url -v,依据下图的输出,443是在ng层面进行了拦截,而是被后服务进行拦截。解决方案:在ng层面进行拦截。
安全测试-渗透测试-安全http方法问题及解决方案.doc
09-10
### 安全测试渗透测试中的安全HTTP方法问题及解决方案 #### 一、问题背景与概述 在现代网络环境中,网络安全已经成为企业和组织关注的重点之一。其中,HTTP协议作为Web应用的基础,其安全性尤为重要。然而,在...
WEB渗透学习-XSS-labs靶场
04-20
这包括使用HTTP头部的Content-Security-Policy、输入验证、输出编码等方法。 6. **XSS攻击利用实战**:在高级关卡中,你可能需要利用XSS进行更复杂的操作,如cookie窃取、CSRF令牌篡改甚至会话劫持。 7. **安全...
Web安全学习笔记-Web-Sec Documentation
01-30
如何通过网络入口、域名信息、口扫描和站点分析等手段来获取目标系统的初步情报,是进行渗透测试安全评估可或缺的一步。这些技能仅有助于理解潜在的安全威胁,而且对于制定有效的安全策略也至关重要。 综合...
漏洞挖掘-安全HTTP方法
weixin_48421613的博客
01-09 5234
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户向服务器发送 DELETE 请求,并指定要删除的资源。
启用了安全http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
(九)安全HTTP方法
weixin_30394333的博客
06-12 1006
01漏洞描述 《HTTP | HTTP报文》中介绍了HTTP请求方法。在这些方法中,HTTP定义了一组被称为安全方法方法:GET、HEAD、OPTIONS、TRACE,这些方法会产生什么动作,会在服务器上产生结果,只是简单获取信息。相对的,能产生动作的方法就会被认为是安全HTTP方法。 注意,安全方法一定什么动作都执行,比如在登陆时用GET方法传输数据,这个时候GET...
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 5198
安全HTTP请求 漏洞原理以及修复方法
安全http方法
q908544703的博客
06-02 525
详情:系统启用了OPTIONS、DELETE、PUT安全http方法 修改tomcat的conf目录下的web.xml 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87 ...
安全HTTP方法渗透实验)
b13001216978的博客
06-03 963
安全HTTP方法渗透实验) 1.使用 curl -v -X OPTIONS url(含目录) 获取允许访问的http method(该命令同时支持linux和windows系统) 例如:curl -v -X OPTIONS http://127.0.0.1:8080/ 转载于:https://www.cnblogs.com/wtujvk/p/9136567.html ...
Web-CTF-帮助:用于Web渗透测试的实用脚本集
Web安全领域,Python可用于编写渗透测试工具和自动化安全任务。 3. Web安全Web安全是指保护Web应用免受各种安全威胁的技术和措施。常见的Web安全威胁包括XSS、CSRF、SQL注入、会话劫持、点击劫持等。了解和掌握...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值