安全测试用例:检查是否存在不安全的HTTP方法

1、用例描述:检查是否存在不安全的HTTP方法

2、前提条件:Web服务器运行正常

3、测试步骤:

手工构造HTTP报文测试:

a.点击"开始"-"运行",输入cmd并回车,运行cmd.exe

b.输入telnet IP 端口 (其中IP和端口按实际情况填写,用空格隔开,比如:telnet 111.111.111.111 8080)

c.回车

d.在新行中输入如下一行,并回车

OPTIONS / HTTP/1.0

e.检查返回结果中的Allow的方法不包含不安全的方法

返回结果样例:

HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

X-Powered-By: Servlet 2.4; nginx-4.0.5.GA (build: CVSTag=Branch_4_0 date=200231231231)/Tomcat-5.5

Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS

Content-Length: 0

Date: Mon, 29 Jun 2032 01:12:17 GMT

Connection: close

备注:

手工测试仅以构造OPTIONS方法为例,如果OPTIONS方法被服务器禁止,请手工构造DELETE、PUT、TRACE、MOVE、COPY等不安全方法报文。

4、预期结果:

不包含不安全的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY)

相关推荐
treesforest14 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
上海云盾第一敬业销售14 天前
深入解析WAF的工作原理与机制
web安全·ddos
憧憬成为web高手14 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub14 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
zhengfei61114 天前
小白级手册——全面剖析红队信息收集思考
网络·安全·web安全
爱网络爱Linux14 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
持敬chijing14 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
顾凌陵14 天前
Web安全二阶段综合测试:知识点速查与实战技巧
安全·web安全
水龙吟啸14 天前
机器学习安全:图像多分类任务的测试时对抗样本转移攻击实战(一)
机器学习·图像分类·安全性测试·asr·混淆矩阵·auc·转移攻击
Chengbei1114 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss