不安全的HTTP方法

我们常见的HTTP请求方法是GET、POST和HEAD。但是，其实除了这两个之外，HTTP还有一些其他的请求方法。

WebDAV （Web-based Distributed Authoring and Versioning） 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。

WebDAV虽然方便了网站管理员对网站的管理，但是也带来了新的安全风险！

• PUT：由于PUT方法自身不带验证机制，利用PUT方法可以向服务器上传文件，所以恶意攻击者可以上传木马等恶意文件。
• DELETE：利用DELETE方法可以删除服务器上特定的资源文件，造成恶意攻击。
• OPTIONS：将会造成服务器信息暴露，如中间件版本、支持的HTTP方法等。
• TRACE：可以回显服务器收到的请求，主要用于测试或诊断，一般都会存在反射型跨站漏洞

以下是WebDAV支持的HTTP请求方法。

br

我们可以将请求方法设置为OPTIONS，来查看服务器支持的请求方法。

如下，我们查看一下CSDN支持的请求方法，从返回包我们可以看出支持GET、POST、OPTIONS。这是安全的。

但是有些网站开启了WebDAV，并且管理员配置不当，导致支持危险的HTTP方法，如下。该网站除了支持GET、POST、OPTIONS、HEAD之外，还支持 PUT、DELETE请求方法。

风险等级：低风险(具体风险视通过不安全的HTTP请求能获得哪些信息)

修订建议：如果服务器不需要支持WebDAV，请务必禁用它，或禁止不必要的

HTTP 方法，只留下GET、POST方法！