网站安全之网站渗透测试
除了在HTTP传输中,除了常规的get、post方法外还有另外的6中方法,分别如下(get和post常规方法就不介绍了):
PUT:此方法允许客户端在Web服务器上上传新文件。攻击者可以利用此方法上传恶意文件(如:通过调用cmd.exe来执行命令的asp文件)。
DELETE:此方法允许客户端在web服务器上删除文件。
CONNECT:此方法可让客户端使用web服务器作为代理。
TRACE:不管发送给服务器是何种字符,此方法会简单将这些返回客户端。可被用于跨站追查攻击。
测试方式:
使用NC(Netcat)发送OPTIONS 查看目标网站支持哪些方法:
nc http://www.zjjv.com/ 80
OPTIONS / HTTP/1.1
Host:http://www.zjjv.com/
HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Tue, 31 Oct 2006 08:00:29 GMT Connection: close Allow: GET, HEAD, POST, TRACE, OPTIONS(乱写的数据,但是正常会返回这些)
0
0