网站安全之网站渗透测试-HTTP方法

除了在HTTP传输中，除了常规的get、post方法外还有另外的6中方法，分别如下(get和post常规方法就不介绍了)：

PUT:此方法允许客户端在Web服务器上上传新文件。攻击者可以利用此方法上传恶意文件(如：通过调用cmd.exe来执行命令的asp文件)。

DELETE:此方法允许客户端在web服务器上删除文件。

CONNECT:此方法可让客户端使用web服务器作为代理。

TRACE:不管发送给服务器是何种字符，此方法会简单将这些返回客户端。可被用于跨站追查攻击。

测试方式：

使用NC(Netcat)发送OPTIONS 查看目标网站支持哪些方法：

nc www.2cto.com 80

OPTIONS / HTTP/1.1

Host:www.2cto.com

HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Tue, 31 Oct 2006 08:00:29 GMT Connection: close Allow: GET, HEAD, POST, TRACE, OPTIONS(乱写的数据，但是正常会返回这些)