我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。
WebDAV虽然方便了网站管理员对网站的管理,但是也带来了新的安全风险!
以下是WebDAV支持的HTTP请求方法。
br
我们可以将请求方法设置为OPTIONS,来查看服务器支持的请求方法。
如下,我们查看一下CSDN支持的请求方法,从返回包我们可以看出支持GET、POST、OPTIONS。这是安全的。
但是有些网站开启了WebDAV,并且管理员配置不当,导致支持危险的HTTP方法,如下。该网站除了支持GET、POST、OPTIONS、HEAD之外,还支持 PUT、DELETE请求方法。
风险等级:低风险(具体风险视通过不安全的HTTP请求能获得哪些信息)
修订建议:如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的
HTTP 方法,只留下GET、POST方法!