1. 不安全的HTTP方法 :
1)描述:
不安全的HTTP方法一般包括: TRACE、 PUT、 DELETE、 COPY等。 其中最常见的为TRACE方法可以回显服务器收到的请求, 主要用于测试或诊断, 恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击), 从而进行网站钓鱼、 盗取管理员cookie等。 其他说明方式如下所示:
常用方法:
| 方法 | 解释 |
| PUT | 向指定的目录上传文件 |
| DELETE | 删除指定的资源 |
| COPY | 将指定的资源复制到Destination消息头 指定的位置 |
| MOVE | 将指定的资源移动到Destination消息头 指定的位置 |
| CONNECT | 客户端使用Web服务器作为代理 |
| PROPFIND | 获取与指定资源有关的信息, 如作者、 大 小与内容类别 |
| TRACE | 在响应中返回服务器收到的原始请求 |
| DEAD | 返回报文的头部 |
| OPTIONS | 客户端询问服务器可以提交哪些请求方法 |
| GET | 获取服务器资源 |
| POST | 传输实体文本 |
2) 检测方法
1、 使用抓包软件抓取数据包
2、 拦截数据包, 将HTTP方法修改为GET、 POST、 HEAD、 PUT、 DELETE、TRACE等
3、 分别发送数据包到服务器
4、 查看每种HTTP方法的返回结果。 如果服务器完全忽略请求或者返回错误, 则该项是安全的。 如果服务器有其他任何返回, 则服务器响应了不必要的方法, 是不安全的。
注意: GET和POST响应是正常的, 其他的不正常