不安全的 HTTP 方法
0x01 漏洞描述
- 不安全的HTTP方法 -
目标服务器启用了不安全的HTTP方法,例如PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE等。不合理的权限配置有可能允许未授权的用户对其进行利用,可能导致文件篡改、数据删除、信息泄露等严重安全问题。
| HTTP 方法 | 核心作用 | 主要安全风险 | 典型攻击场景 |
|---|---|---|---|
| PUT | 向服务器上传 / 替换指定路径的资源 | 未授权文件上传、覆盖服务器核心文件(如配置文件、脚本文件) | 攻击者通过 PUT /malicious.php HTTP/1.1 上传恶意 PHP 脚本,执行服务器命令;覆盖 index.html 篡改网站首页。 |
| DELETE | 删除服务器上指定路径的资源 | 未授权数据删除、文件删除,导致业务数据丢失或服务不可用 | 攻击者通过 DELETE /api/user/123 HTTP/1.1 删除用户数据;删除服务器关键配置文件(如 /etc/passwd,Linux 环境)。 |
| TRACE | 回显服务器收到的请求内容(调试用) | 跨站追踪(Cross-Site Tracing, XST),泄露客户端 Cookie(尤其是未设 HttpOnly 的 Cookie) | 攻击者构造恶意页面,诱使用户访问,通过 TRACE 请求回显用户的 sessionid,进而劫持会话。 |
| OPTIONS | 获取服务器支持的 HTTP 方法列表 | 信息探测:为攻击者提供 “攻击入口”(如发现支持 PUT,则尝试文件上传) | 攻击者发送 OPTIONS * HTTP/1.1,若返回 Allow: GET, POST, PUT, DELETE,则确定可利用 PUT/DELETE 发起攻击。 |
| COPY | 复制服务器上的资源到指定路径 | 未授权复制敏感文件(如数据库备份、用户数据),或复制恶意文件扩散影响 | 复制服务器 /data/user_info.db 到可访问路径(如 /public/leak.db),下载窃取用户数据。 |
| MOVE | 移动服务器上的资源到指定路径 | 篡改资源路径,导致敏感文件被移动到公开目录,或覆盖正常文件 | 将服务器 /private/config.php 移动到 /public/config.php,泄露数据库连接信息。 |
0x02 漏洞等级
| 威胁级别 | 高危 | 中危 | 低危 |
0x03 漏洞验证
使用Burpsuite抓取网站数据包,修改请求包的方法为OPTIONS,响应包中出现PUT、DELETE、TRACE等不安全的 HTTP 方式。
0x04 漏洞修复
- 限制PUT、DELETE、SEARCH、COPY、MOVE、TRACE等危险的方法的访问权限。
- 如果不需要使用上述 HTTP 方法,应关闭不必要的方法,只留下GET、POST方法。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 鸣剑Sec!
相关推荐
2022-11-25
HTTP Strict-Transport-Security 缺失
Web 服务器对于 HTTP 请求的响应头缺少 Strict-Transport-Security,这意味着此网站更易遭受跨站脚本攻击(XSS)。Strict-Transport-Security 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。浏览器通常会根据响应头 Content-Type 字段来分辨资源类型,有些资源的 Content-Type 是错的或者未定义,这时浏览器会启用 MIME-sniffing 来猜测该资源的类型并解析执行内容。利用这个特性,攻击者可以让原本应该解析为图片的请求被解析为 JavaScript 代码。
2022-11-24
HTTP X-Content-Type-Options 缺失
Web 服务器对于 HTTP 请求的响应头缺少 X-Content-Type-Options,这意味着此网站更易遭受跨站脚本攻击(XSS)。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。浏览器通常会根据响应头 Content-Type 字段来分辨资源类型,有些资源的 Content-Type 是错的或者未定义,这时浏览器会启用 MIME-sniffing 来猜测该资源的类型并解析执行内容。利用这个特性,攻击者可以让原本应该解析为图片的请求被解析为 JavaScript 代码。
2022-11-22
HTTP X-Frame-Options 缺失
Web 服务器对于 HTTP 请求的响应头缺少 X-Frame-Options,这意味着此网站存在遭受点击劫持攻击的风险。X-Frame-Options 响应头可被用于指示允许一个页面可否在 frame、iframe、embed 或者 object 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。
2022-11-23
HTTP X-XSS-Protection 缺失
Web 服务器对于 HTTP 请求的响应头缺少 X-XSS-Protection,这意味着此网站更易遭受跨站脚本攻击(XSS)。X-XSS-Protection 响应头是 Internet Explorer、Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击(XSS)时,浏览器将停止加载页面。
2022-11-21
会话 Cookie 未设置 HttpOnly 属性
Web 应用程序设置了不含 HttpOnly 属性的会话 Cookie,因此注入站点的恶意脚本可能访问并窃取 Cookie 值。任何存储在会话令牌中的信息都可能会被窃取,它们可能被用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的 Cookie,此类 Cookie 仅作用于服务器。例如,持久化服务器端会话的 Cookie 不需要对 JavaScript 操作,而应具有 HttpOnly 属性。会话 Cookie 设置 HttpOnly 属性,此预防措施有助于缓解跨站点脚本(XSS)攻击。
2022-11-20
会话 Cookie 未设置 Secure 属性
Web 应用程序设置了不含 Secure 属性的会话 Cookie,这意味着 Cookie 信息在传递的过程中容易被监听捕获造成信息泄露。标记为 Secure 的 Cookie 只会通过被 HTTPS 协议加密过的请求发送给服务端进行会话验证,它永远不会使用不安全的 HTTP 发送传输(本地主机除外),这意味着中间人攻击者无法轻松访问它。此外,在不安全的站点(在 URL 中带有 `http://`)无法使用 Secure 属性设置的 Cookie 值。