欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

网站安全之网站渗透测试-HTTP方法

程序员文章站 2022-07-09 22:07:53
除了在HTTP传输中,除了常规的get、post方法外还有另外的6中方法,分别如下(get和post常规方法就不介绍了): PUT:此方法允许客户端在Web服务器上上传新文件。攻击者可以利用...

除了在HTTP传输中,除了常规的get、post方法外还有另外的6中方法,分别如下(get和post常规方法就不介绍了):

PUT:此方法允许客户端在Web服务器上上传新文件。攻击者可以利用此方法上传恶意文件(如:通过调用cmd.exe来执行命令的asp文件)。

DELETE:此方法允许客户端在web服务器上删除文件。

CONNECT:此方法可让客户端使用web服务器作为代理。

TRACE:不管发送给服务器是何种字符,此方法会简单将这些返回客户端。可被用于跨站追查攻击。

测试方式:

使用NC(Netcat)发送OPTIONS 查看目标网站支持哪些方法:

nc www.2cto.com 80

OPTIONS / HTTP/1.1

Host:www.2cto.com

HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Tue, 31 Oct 2006 08:00:29 GMT Connection: close Allow: GET, HEAD, POST, TRACE, OPTIONS(乱写的数据,但是正常会返回这些)