不安全的HTTP方法，阿里面试官_不安全的 http请求 漏洞危害

（2）GET请求可以被缓存；POST方法不能被缓存。

（3）GET请求有长度限制 (IE限制在2KB,Chrome，FireFox浏览器理论上对于URL是没有限制的，真正的限制取决于操作系统本身)；POST请求对数据长度没有要求。

（4）GET请求只能进行url编码，而POST支持多种编码方式。

（5）GET参数通过URL传递，POST放在Request body中。

（6）GET请求会被浏览器主动cache，而POST不会，除非手动设置。

（7）GET在浏览器回退时是无害的，而POST会再次提交请求。

GET和POST的相同之处

（1）GET 和 POST，用的都是同一个传输层协议，所以在传输上没有区别。

（2）GET 方法 和 POST都可以传输实体的主体 (但一般不用GET方法进行传输，而是用POST方法；虽然GET方法和POST方法很相似，但是POST的主要目的并不是获取响应的主体内容)。

3.其他不常见方法

二、不安全的HTTP方法及危害

在所有的HTTP方法中，安全界认为PUT、DELETE、TRACE是不安全的，另外WebDAV中的几个方法，RFC 5789中的PATCH方法也被认为是不安全的。（TRACE容易引发XST攻击，PATCH修改资源的部分内容，PUT/DELETE没有认证机制等）

1.OPTIONS

OPTIONS方法，将会造成服务器信息暴露，如中间件版本、支持的HTTP方法等。

2.PUT

PUT方法，由于PUT方法自身不带验证机制，利用PUT方法即可快捷简单地入侵服务器，上传Webshell或其他恶意文件，从而获取敏感数据或服务器权限。

3.DELETE

利用DELETE方法可以删除服务器上特定的资源文件，造成恶意攻击。

4.TRACE

TRACE方法可以回显服务器收到的请求，主要用于测试或诊断，恶意攻击者可以
利用该方法进行跨站跟踪攻击(即XST攻击)，从而进行网站钓鱼、盗取管理员cookie
等。

三、漏洞检测

1.正常访问抓取数据包。

2.修改请求包中的请求方法为OPTIONS，提交。

3.提交后，如果成功，响应包中会出现一个Allow字段，里面列出了URL指定资源所支持的方法列表。

---

但是在执行完以上步骤，看到响应包中Allow字段包含不安全方法就直接认定系统存在漏洞有些不太严谨，因此可以进一步验证是否真的存在该漏洞。

例如，Allow字段中包含TRACE方法，那么可以将OPTIONS方法改为TRACE再发包。若响应包主题中包含接收到的请求，则证明支持TRACE方法，系统存在不安全的HTTP方法漏洞；反之，发现服务器报错（一般不支持会报错405），则证明不支持TRACE方法，需要进一步验证漏洞是否存在。

四、漏洞利用

可以使用curl对部分方法进行利用，如PUT、DELETE等。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

义、实战项目、讲解视频，并且后续会持续更新**

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）
[外链图片转存中…(img-hB6bVD9N-1713045383072)]