1、用例描述:检查是否存在不安全的HTTP方法
2、前提条件:Web服务器运行正常
3、测试步骤:
手工构造HTTP报文测试:
a.点击"开始"-"运行",输入cmd并回车,运行cmd.exe
b.输入telnet IP 端口 (其中IP和端口按实际情况填写,用空格隔开,比如:telnet 111.111.111.111 8080)
c.回车
d.在新行中输入如下一行,并回车
OPTIONS / HTTP/1.0
e.检查返回结果中的Allow的方法不包含不安全的方法
返回结果样例:
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
X-Powered-By: Servlet 2.4; nginx-4.0.5.GA (build: CVSTag=Branch_4_0 date=200231231231)/Tomcat-5.5
Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
Content-Length: 0
Date: Mon, 29 Jun 2032 01:12:17 GMT
Connection: close
备注:
手工测试仅以构造OPTIONS方法为例,如果OPTIONS方法被服务器禁止,请手工构造DELETE、PUT、TRACE、MOVE、COPY等不安全方法报文。
4、预期结果:
不包含不安全的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY)
