网站安全之网站渗透测试

2016 年 10 月 30 日3370

  除了在HTTP传输中,除了常规的get、post方法外还有另外的6中方法,分别如下(get和post常规方法就不介绍了):

  PUT:此方法允许客户端在Web服务器上上传新文件。攻击者可以利用此方法上传恶意文件(如:通过调用cmd.exe来执行命令的asp文件)。

  DELETE:此方法允许客户端在web服务器上删除文件。

  CONNECT:此方法可让客户端使用web服务器作为代理。

  TRACE:不管发送给服务器是何种字符,此方法会简单将这些返回客户端。可被用于跨站追查攻击。

  测试方式:

  使用NC(Netcat)发送OPTIONS 查看目标网站支持哪些方法:

  nc http://www.zjjv.com/ 80

  OPTIONS / HTTP/1.1

  Host:http://www.zjjv.com/

  HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Tue, 31 Oct 2006 08:00:29 GMT Connection: close Allow: GET, HEAD, POST, TRACE, OPTIONS(乱写的数据,但是正常会返回这些)

0 0