事情是这样,某社交平台上有个兄弟发帖,说自己刚入职国企,写了个借口,用了PUT和DELETE方法,前段说不能用这两个,这位仁兄感觉很委屈,特地发帖吐槽。
其实站在安全的角度来说,真没冤枉你,这都啥年代了,作为开发,这几本的安全开发规则都不懂啊,PUT和DELETE方法是危险方法,基本上在开发中是被禁止使用的。
0x1 危险的PUT和DELETE方法
首先我们要知道一个中间件服务器都支持哪些方法:PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK等方法了
PUT方法:首先你使用了PUT方法,就证明你的服务器开启了PUT方法,既然你能用PUT方法上传正常业务的文件或者数据,那黑客就能利用你这个接口来上传他想上传的文件,我就以IIS PUT文件上传的洞来解释一下(我在我的web安全🔗中的第六章框架漏洞中,共讲了65个框架漏洞,几本涵盖市面常见的框架漏洞):
1、web安全中详细讲解了PUT方法的利用,先使用OPTIONS验证PUT方法是否可以使用
2、确认了PUT方法可用后使用PUT方法上传txt(这里也可以直接上传木马)文件
3、可以看到服务器上被上传了好多测试的txt文件
除了iis还有tomcat服务器也是同样具备PUT方法上传木马的漏洞,在PUT方法启用的情况下,可以直接上传shell
点击查看更多内容
为 TA 点赞
评论
共同学习,写下你的评论
评论加载中...
作者其他优质文章
正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦