为了账号安全,请及时绑定邮箱和手机立即绑定

刚入职,写接口用了PUT和DELETE方法,结果被同事喷了,感觉自己被针对了

标签:
安全测试

事情是这样,某社交平台上有个兄弟发帖,说自己刚入职国企,写了个借口,用了PUT和DELETE方法,前段说不能用这两个,这位仁兄感觉很委屈,特地发帖吐槽。

其实站在安全的角度来说,真没冤枉你,这都啥年代了,作为开发,这几本的安全开发规则都不懂啊,PUT和DELETE方法是危险方法,基本上在开发中是被禁止使用的。

https://img1.sycdn.imooc.com/666ef4b8000179c010840252.jpg

0x1 危险的PUT和DELETE方法


首先我们要知道一个中间件服务器都支持哪些方法:PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK等方法了

PUT方法:首先你使用了PUT方法,就证明你的服务器开启了PUT方法,既然你能用PUT方法上传正常业务的文件或者数据,那黑客就能利用你这个接口来上传他想上传的文件,我就以IIS PUT文件上传的洞来解释一下(我在我的web安全🔗中的第六章框架漏洞中,共讲了65个框架漏洞,几本涵盖市面常见的框架漏洞):

1、web安全中详细讲解了PUT方法的利用,先使用OPTIONS验证PUT方法是否可以使用

2、确认了PUT方法可用后使用PUT方法上传txt(这里也可以直接上传木马)文件

3、可以看到服务器上被上传了好多测试的txt文件

https://img1.sycdn.imooc.com/666ef4e100010c2d11581096.jpg

除了iis还有tomcat服务器也是同样具备PUT方法上传木马的漏洞,在PUT方法启用的情况下,可以直接上传shell

https://img1.sycdn.imooc.com/666ef5070001965511320576.jpg

点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消