Web安全测试实战之测试HTTP方法
一、 Http方法测试
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。
测试方法:
1、打开webscarab,找到manual request这个标签
2、在Request的Parsed的Method中填入OPTIONS
3、在URL中填入我们的待测环境中的一个静态页面
4、在Version中填入HTTP/1.0 或者HTTP/1.1
5、完善好之后点击fetch Response按钮
6、查看其响应
二、 Http Put方法测试
有些Web服务器开放了PUT方法,攻击者能够通过该方法上传任意文件到Web服务器的一些目录中去。包括Web木马程序。
测试方法:
1、打开webscarab,找到manual request这个标签
2、在Request的Parsed的Method中填入PUT
3、在URL中填入待测试环境下一个存在目录下的一个不存在的文件
4、在Version中填入HTTP/1.0 或者HTTP/1.1
5、完善好之后点击Parsed旁边的Raw标签
在内容的尾部添加2个回车
并随便输入点内容
6、完成之后点击fetch Response按钮
7、查看其响应
8、去服务器的对应目录上检查是否出现相应文件
三、 Http Trace方法测试:
有些Web服务器开放了TRACE方法(主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息),攻击者能够通过该方法构造跨站攻击。
测试方法同前面的OPTION和PUT方法
Method:TRACE
URL:任意待测试环境的URL
Version:HTTP/1.0或HTTP/1.1
四、 Http Delete方法:
有些Web服务器开放了DELETE方法,攻击者能够通过该方法删除Web服务器上的文件。
测试方法同前面的OPTION和PUT方法
Method:DELETE
URL:任意需要删除的页面
version:HTTP/1.0或HTTP/1.1
作者:jz