一.基本概念
HTTP协议(HperText Transfer Protocol)即超文本传输协议,是一种详细规定了浏览器和万维网服务器之间互相通信的规则,它是万维网交换信息的基础,它允许将HTML(超文本标记语言)文档从Web服务器传送到Web浏览器。
HTTP遵循请求(Request)应答(Response)模型,HTTP请求分为三部分,分别是请求行(请求方法),请求头和请求正文。
对于HTTP请求方法,下面简单的进行介绍几种常见的HTTP请求方式。
1.GET 获取服务器资源
2.POST 传输实体文本
3.HEAD 返回报文的头部
4.PUT 向指定的目录上传文件
5.DELETE 删除指定的资源
6.TRACE 在响应中返回服务器收到的原始请求
7.CONNECT 客户端使用Web服务器进行代理
8.OPTIONS 客户端询问服务器可以提交哪些请求方法
其中,除了GET、POST和HEAD传参以外,都是不安全的HTTP请求方式
二.测试手段
1.使用抓包软件抓取数据包
2.拦截数据包,将HTTP方法修改为GET.POST.HEAD.PUT.DELETE ....
3.分别发送数据包到服务器,查看返回码,如果没有特殊业务需求,除了GET、POST和HEAD传参以外,如果有正常返回的,则存在此漏洞。
