HTTP安全风险检测方式
GET方法检测
参数暴露
1.查询字符串敏感信息:URL中直接显示token、sessionid等参数
2.浏览器历史记录残留:GET请求被完整记录在浏览器历史中
3.日志泄露:Web服务器日志完整记录含参数的URL
示例检测:使用Burp Suite抓取请求,检查URL是否包含身份凭证(如?token=abcd1234)
数据篡改
1.参数可被用户直接修改:价格、用户ID等关键参数未做服务端验证
2.重放攻击:相同参数重复提交导致业务逻辑异常
3.检测方法:修改参数值(如orderid=1001改为orderid=1002),验证是否越权访问
POST方法检测
CSRF漏洞
验证是否缺失CSRF Token:检查表单是否包含随机token字段
检测Referer验证机制:修改或删除Referer头验证请求是否拒绝
检测工具:使用CSRF PoC生成器构造恶意页面尝试提交请求
数据完整性
参数未签名:关键业务数据(如金额、数量)未做数字签名
缺乏重放防护:相同请求多次提交产生重复业务影响
检测示例:拦截订单请求,修改price参数值后重放,观察是否按修改值成交
PUT方法检测
文件上传漏洞
文件类型绕过:修改Content-Type头部上传可执行文件
路径遍历:文件名包含../等字符尝试覆盖系统文件
检测文件上传漏洞步骤:
1.尝试上传.jsp/.php文件
2.修改文件名../../WEB-INF/web.xml
3.检查返回状态码(200/403)
权限绕过
未验证所有权:直接修改其他用户资源标识符
缺少权限检查:低权限用户尝试创建/覆盖高权限资源
检测案例:将请求PUT /api/users/1001/files/1.txt改为PUT /api/users/1002/files/1.txt
工具自动化扫描
OWASP ZAP:自动测试HTTP方法安全性
Burp Suite Intruder:批量发送不同方法的请求测试
Nmap http-methods脚本:识别支持的潜在危险方法
安全配置验证
检查Web服务器配置:禁用不必要的HTTP方法(如PUT/DELETE)
验证WAF规则:测试是否阻断恶意方法滥用