一.基本概念
? ? HTTP協(xié)議(HperText Transfer Protocol)即超文本傳輸協(xié)議底哥,是一種詳細(xì)規(guī)定了瀏覽器和萬(wàn)維網(wǎng)服務(wù)器之間互相通信的規(guī)則房官,它是萬(wàn)維網(wǎng)交換信息的基礎(chǔ),它允許將HTML(超文本標(biāo)記語(yǔ)言)文檔從Web服務(wù)器傳送到Web瀏覽器翰守。
? ? HTTP遵循請(qǐng)求(Request)應(yīng)答(Response)模型,HTTP請(qǐng)求分為三部分了袁,分別是請(qǐng)求行(請(qǐng)求方法)湿颅,請(qǐng)求頭和請(qǐng)求正文。
????對(duì)于HTTP請(qǐng)求方法崭庸,下面簡(jiǎn)單的進(jìn)行介紹幾種常見(jiàn)的HTTP請(qǐng)求方式。
? ? 1.GET? ? 獲取服務(wù)器資源
? ? 2.POST? ? 傳輸實(shí)體文本
? ? 3.HEAD? ? 返回報(bào)文的頭部
? ? 4.PUT? ? 向指定的目錄上傳文件
? ? 5.DELETE? ? 刪除指定的資源
? ? 6.TRACE? ? 在響應(yīng)中返回服務(wù)器收到的原始請(qǐng)求
? ? 7.CONNECT? ? 客戶(hù)端使用Web服務(wù)器進(jìn)行代理
? ? 8.OPTIONS? ? 客戶(hù)端詢(xún)問(wèn)服務(wù)器可以提交哪些請(qǐng)求方法
? ? 其中怕享,除了GET镰踏、POST和HEAD傳參以外,都是不安全的HTTP請(qǐng)求方式
二.測(cè)試手段
? ? 1.使用抓包軟件抓取數(shù)據(jù)包
? ? 2.攔截?cái)?shù)據(jù)包驻呐,將HTTP方法修改為GET.POST.HEAD.PUT.DELETE ....
? ? 3.分別發(fā)送數(shù)據(jù)包到服務(wù)器芳来,查看返回碼,如果沒(méi)有特殊業(yè)務(wù)需求猜拾,除了GET、POST和HEAD傳參以外顽聂,如果有正常返回的,則存在此漏洞紊搪。
