Web安全测试实战之测试HTTP方法
一、 Http方法测试
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。
测试方法:
1、打开webscarab,找到manual request这个标签
2、在Request的Parsed的Method中填入OPTIONS
3、在URL中填入我们的待测环境中的一个静态页面
4、在Version中填入HTTP/1.0 或者HTTP/1.1
5、完善好之后点击fetch Response按钮
6、查看其响应
二、 Http Put方法测试
有些Web服务器开放了PUT方法,攻击者能够通过该方法上传任意文件到Web服务器的一些目录中去。包括Web木马程序。
测试方法:
1、打开webscarab,找到manual request这个标签
2、在Request的Parsed的Method中填入PUT
3、在URL中填入待测试环境下一个存在目录下的一个不存在的文件
4、在Version中填入HTTP/1.0 或者HTTP/1.1
5、完善好之后点击Parsed旁边的Raw标签
在内容的尾部添加2个回车
并随便输入点内容
6、完成之后点击fetch Response按钮
7、查看其响应
8、去服务器的对应目录上检查是否出现相应文件
三、 Http Trace方法测试:
有些Web服务器开放了TRACE方法(主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息),攻击者能够通过该方法构造跨站攻击。
测试方法同前面的OPTION和PUT方法
Method:TRACE
URL:任意待测试环境的URL
Version:HTTP/1.0或HTTP/1.1
四、 Http Delete方法:
有些Web服务器开放了DELETE方法,攻击者能够通过该方法删除Web服务器上的文件。
测试方法同前面的OPTION和PUT方法
Method:DELETE
URL:任意需要删除的页面
version:HTTP/1.0或HTTP/1.1
作者:jz
- 接口自动化:HttpClient + TestNG + Java(四) - 封装和测试post方法请求
- Web安全测试(一)-手工安全测试方法&修改建议
- Loadrunner Http接口Get/Post方法性能测试脚本解析
- 如何使用单元测试 测试WEB组件方法中的含有Session、Cookie等HttpContext功能调用的方法?[转载]
- 使用ASP.NET Web Api构建基于REST风格的服务实战系列教程【五】——在Web Api中实现Http方法(Put,Post,Delete)
- 多种测试HTTP身份验证的方法
- 火狐浏览器httprequest插件添加和使用方法(适用于前后台分离,测试后台接口)
- 实战解决IIS服务器的“HTTP 500 内部服务器错误”,装了Visual Studio 2005之后重装IIS的问题解决方法
- 【软件自动化测试-QTP实战技能 10】== QTP用到的一些特殊方法
- 【软件自动化测试-QTP实战技能 7】== QTP中类的基本使用方法
- APP开发实战27-HTTP方法
- 渗透测试-HTTP方法
- 使用ASP.NET Web Api构建基于REST风格的服务实战系列教程【五】——在Web Api中实现Http方法(Put,Post,Delete)
- 正确配置并且测试HttpListener的方法(httpcfg的使用)
- Tomcat测试“http://localhost:8080”失败解决方法
- Tomcat测试“http://localhost:8080”失败解决方法
- WEB测试项目实战——5.web测试用例设计方法
- Web压力测试工具:http_load、webbench、ab、Siege使用方法
- ab post 测试 http 和 webservice 接口方法及用例
- 测试之道--网络爬虫系列4(http协议请求实战)