前些天进行渗透测试,出现不安全的HTTP方法,做下小结。
一,先了解下常用的HTTP请求方法
| 方法 | 描述 |
|---|---|
| GET | GET是最常用的方法,它的作用是获取服务器中的某个资源 |
| POST | POST方法是用来向服务器传递数据的. POST请求通常会用来提交HTML的表单. 表单中填好的数据会被传输给服务器,然后由服务器对这些数据进行处理 |
| PUT | 与GET从服务器读取资源相反,PUT方法会向服务器写入资源. 有些发布系统允许用户创建Web页面,并用PUT直接向其传输到Web服务器中 |
| DELETE | DELETE方法所做的事情就是请服务器删除请求URL所指定的资源 |
| OPTIONS | OPTIONS方法请求Web服务器告知其支持的各种功能. 可以询问服务器通常支持哪些方法,或者对某些特殊资源支持哪些方法 |
| HEAD | HEAD方法与GET方法的行为很类似,但服务器在响应中只返回首部. 不会返回实体的主体部分. |
还有TRACE,CONNECT等,我不太了解,也没用过。
二、查看不安全的HTTP方法
Web服务器配置为允许使用危险的HTTP方法,可能允许未授权的用户对Web服务器进行敏感操作。如OPTIONS,会造成服务器信息暴露,如ALLOW等
使用命令查看是否支持OPTIONS请求方法
curl -i -X OPTIONS https://test.***.com/proxy/register
上面就没有禁用options方法,请求返回结果为200,可以看到一些服务器信息
三、如何禁止使用不安全的HTTP方法
前两天随便百度了些文章,看到有文章说在请求头设置允许使用的方法即可res.setHeader("Access-Control-Allow-Methods", "GET,POST"),又说curl命令打印出的信息,Allow是GET、HEAD就是正确的(无知的我)
结果提交到测试的时候,人家告诉我返回200就是不对的,应该是403之类,如下图
又尝试在封装请求方法的地方去判断请求方法,但并不生效。我没搞懂真正的HTTP请求,我猜测不管用的原因是,我判断的地方已经走过了node请求那一步,header信息已经发送成功了,晕晕乎乎的搞不明白。最后选择在nginx改配置,一劳永逸。。。
if($request_method !== 'GET' && $request_method !== 'POST'){
return 403
}
这样也不是个好办法,等有空(也许没空)把node端如何限制请求方式补上。
