Web安全测试实战之测试HTTP方法
一、 Http方法测试
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。
测试方法:
1、打开webscarab,找到manual request这个标签
2、在Request的Parsed的Method中填入OPTIONS
3、在URL中填入我们的待测环境中的一个静态页面
4、在Version中填入HTTP/1.0 或者HTTP/1.1
5、完善好之后点击fetch Response按钮
6、查看其响应
二、 Http Put方法测试
有些Web服务器开放了PUT方法,攻击者能够通过该方法上传任意文件到Web服务器的一些目录中去。包括Web木马程序。
测试方法:
1、打开webscarab,找到manual request这个标签
2、在Request的Parsed的Method中填入PUT
3、在URL中填入待测试环境下一个存在目录下的一个不存在的文件
4、在Version中填入HTTP/1.0 或者HTTP/1.1
5、完善好之后点击Parsed旁边的Raw标签
在内容的尾部添加2个回车
并随便输入点内容
6、完成之后点击fetch Response按钮
7、查看其响应
8、去服务器的对应目录上检查是否出现相应文件
三、 Http Trace方法测试:
有些Web服务器开放了TRACE方法(主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息),攻击者能够通过该方法构造跨站攻击。
测试方法同前面的OPTION和PUT方法
Method:TRACE
URL:任意待测试环境的URL
Version:HTTP/1.0或HTTP/1.1
四、 Http Delete方法:
有些Web服务器开放了DELETE方法,攻击者能够通过该方法删除Web服务器上的文件。
测试方法同前面的OPTION和PUT方法
Method:DELETE
URL:任意需要删除的页面
version:HTTP/1.0或HTTP/1.1
作者:jz
Web安全测试实战之测试HTTP方法相关推荐
- pytest测试实战pdf_Pytest测试实战
Pytest测试框架是动态语言Python专用的测试框架,使用起来非常的简单,这主要得易于它的设计,Pytest测试框架具备强大的功能,丰富的第三方插件,以及可扩展性好,可以很好的和unittest测 ...
- 移动App测试实战—专项测试
转自:http://www.51testing.com/html/58/n-3713758.html 我们在进行了手工的功能测试之后,也开发了一些自动化测试用例,并且做了性能测试之后,测试工作看似比较 ...
- 专项测试实战 | 如何测试 App 流畅度(基于 FPS 和丢帧率)?
为UI页面写测试用例时(比如web页面,移动端页面),测试用例会存在大量元素和操作细节.当UI变化时,测试用例也要跟着变化, PageObject 很好的解决了这个问题! FPS 和丢帧率可以在一定程 ...
- 专项测试实战 | 如何测试 App 流畅度(基于 FPS 和丢帧率)
本文为霍格沃兹测试学院学员学习笔记,进阶学习文末加群. FPS 和丢帧率可以在一定程度上作为 APP 流畅度的一项衡量标准,本文介绍利用 adb shell dumpsys gfxinfo 命令获取软 ...
- web渗透测试实战-SQLMAP
一.实验项目名称 web渗透测试实战-SQLMAP 二.实验目的及要求 熟悉SQL注入漏洞原理 熟悉SQLMAP工具使用. 1.获取数据库信息:数据库漏洞.数据库名.数据库版本等 python sql ...
- web前端移动端项目测试的几种方法
web前端移动端项目测试的几种方法 本人只是个做前端刚刚半年的小白 技术还不熟练 见识也不够广 希望大家不喜勿喷 如果有不对的地方欢迎大家指出 我更加会努力的学习 提高自己的水平! 本人只是 ...
- Java运行非Web的Springboot项目(测试类或启动主类两种方法)
Java运行非Web的Springboot项目(测试类或启动主类两种方法) 前言 一.创建打开一个Springboot项目 二.运行项目 1.Test测试类运行 2.启动主类运行 三.持续运行不停止( ...
- 【渗透测试实战】PHP语言有哪些后门?以及利用方法
目录 后门 php.ini构成的后门 .user.ini文件构成的PHP后门 反序列化 PHP序列化实现 常见处理器 序列化格式 private与protect PHP反序列化漏洞 利用点 SoapC ...
- pytest测试实战 电子书_pytest实战APL测试框架
Pytest实战API测试框架 功能规划 数据库断言 pymysql -> 封装 环境清理 数据库操作 -> Fixtures 并发执行 pytest-xdist 多进程并行 复合断言 p ...
最新文章
- Elasticsearch上手——熟悉基本操作
- java冒泡排序_Java冒泡排序,鸡尾酒排序
- 开始体验Kali Linux
- 隐藏文件始终不能显示的完美解决方法
- 通用Makefile实现
- LeetCode 1652. 拆炸弹(前缀和)
- 共用数据库和上传的文件的laravel-admin 和 laravel 项目中文件保存路径的配置
- Karta:IDA源代码辅助插件
- 【转载】google搜索从入门到精通
- Docker容器的资源使用限制
- 【Golang第6章:排序和查找】golang怎么排序,golang的顺序查找和二分查找,go语言中顺序查找二分查找介绍和案例
- 云脉OCR文档管理软件档案加工管理必备
- WebRTC 报错:Failed to set remote offer sdp: Called with SDP without DTLS fingerprint
- Python时间戳转为北京时间
- Android6.0 WMS(八) 显示Activity的启动窗口
- 使用Feed43为网页生成RSS订阅源
- COPY_FROM_USER 详解
- 关于专利技术交底书分类的真相
- 微记账软件——站立会议08
- deform conv torch 1.7编译安装