http的PUT、DELETE不安全？

雨点打透心脏的1/2处 2023-10-06 21:02 16阅读 0赞

本文主要记录我们的讨论过程及结论，具体测试代码就不贴了。

##    一、背景 ##

最近研发让我开一下服务器的put、delete方法，被我以不安全的http方法给拒绝了。

研发表示我很无理，put怎么就是不安全的了，在他看来，put和post只是语义上的不同。如果put是不安全的方法，那么post也是不安全的方法了。

网上的说法也是分为两派，一派说这些都是不安全的方法，要关掉；另一派说它们只是语义上的区别，不存在安不安全。

##    二、一探究竟 ##

经过我和研发各自编写测试用例来论证后，我明白了为什么会有这样的分歧：**我是从nginx作为web服务器的角度来看问题的，研发是从java代码上来看问题的。**

####    1、为什么说POST和PUT只是语义上的区别？ ####

在研发的代码里，终端（浏览器或客户端）过来的流量，最终通过java的注解，携带参数进入到了研发写了一个方法里来了。比如研发对某个自定义方法使用PUT的注解，那么终端通过PUT方法传递的参数就会进入到这个自定义方法中。有点编程经验的话，就会知道，到了你写的方法里，这些参数就随便你玩了。

对于PUT、POST，研发都可以通过添加不同注解的方式，得到传递的参数，然后进行操作。所以研发会认为他们只是语义上的区别。

####    2、为什么说PUT、DELETE是不安全的方法？ ####

对于nginx，可以使用HttpDavModule编译nginx（./configure --with-http\_dav\_module），开启PUT、DELETE等方法。开启后，恶意攻击者就可以直接将病毒文件等传到nginx服务器上，**所以PUT等方法对nginx来说是不安全的**。

####    3、上面两个问题是否矛盾？ ####

并不矛盾。

假如研发人员打包一个jar包，这时客户端直接访问这个jar包起的服务，那么put传递过来的所有参数，是可以由研发人员编写的代码控制的。只要控制得没有猫病，那么就是安全的。假如开发的是一个tomcat容器部署的工程，参数也是一样可以由研发的代码控制的。

同时，用nginx也可以反向代理put方法（不用HttpDavModule），所以只要后端服务对put服务做好控制，nginx不需要做任何更改，也就实现了对put方法的支持。

但nginx不能单独开启put等，因为研发的代码不能对nginx做控制。

##    **三、结论** ##

后端服务可开启put方法，只需要后端服务对put传递的参数做好控制，并实现put方法即可。

nginx不可开启put方法，这是一种危险的方法。

**才疏学浅，如果分析得不对，请各位大佬指正~~~**

**转载：**

[关于http的PUT、DELETE等方法到底安不安全的讨论\_CHEndorid的博客-CSDN博客\_put和delete安全问题][http_PUT_DELETE_CHEndorid_-CSDN_put_delete]

## 四、案例 ##

## [【低危】不安全的HTTP方法][HTTP] ##

【1】漏洞名称：不安全的HTTP方法

【2】漏洞描述：不安全的HTTP方法一般包括：TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求，主要用于测试或诊断，恶意攻击者可以利用该方法进行跨站跟踪攻击（即XST攻击），从而进行网站钓鱼、盗取管理员cookie等。 其他说明方式如图所示：

![891d9e0914cd134c9ae9aa75f7553a98.png][]

【3】检测案例：

步骤1：Burpsuite捉包修改方法为OPTIONS：

现象：出现 Allow：POST、GET、DELETE、OPTIONS、PUT、HEAD等

![24191e393aa85c8bf173abf0b01bc95c.png][]

在8月5日处理的案例中，客户先是对IIS进行了加固，但复核发现问题依然存在。在与客户沟通的过程中，我发现实际环境除了使用IIS之外，还利用Nginx进行了反向代理，因此我建议客户对Nginx也进行加固处理，加固后问题顺利解决。

【4】修复方案（转自网络）

一、Apache  
使用Apache的重写规则来禁用Options方法和Trace方法

在Apache配置文件httpd-conf中【vhosts-conf】添加以下代码：

单独禁用Trace方法：

RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK）
    RewriteRule .* - [F]

单独禁用Options方法：

RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
    RewriteRule .* - [F]

二、Nginx  
在你要屏蔽的虚拟主机的server段里加入下面代码：

if ($request_method !~* GET|POST) {
                return 403;
            }

重启nginx，这样就屏蔽GET、POST、之外的HTTP方法

三、Tomcat  
web.xml(url下禁用的请求方式)

<security-constraint>  
            <web-resource-collection>  
                <url-pattern>/*</url-pattern>  
                <http-method>PUT</http-method>  
                <http-method>DELETE</http-method>  
                <http-method>HEAD</http-method>  
                <http-method>OPTIONS</http-method>  
                <http-method>TRACE</http-method>  
            </web-resource-collection>  
            <auth-constraint>  
            </auth-constraint>  
        </security-constraint>

四、IIS  
1、禁用WebDAV功能  
2、web.config  
在<configuration>节点下添加如下代码：

<system.webServer>
        <security>
            <requestFiltering>
                <verbs allowUnlisted="false">
                    <add verb="GET" allowed="true"/>
                    <add verb="POST" allowed="true"/>
                    <add verb="HEAD" allowed="true"/>
                </verbs>
            </requestFiltering>
        </security>
    </system.webServer>

转载：

[【低危】不安全的HTTP方法 - Lee\#J1Feng - 博客园][HTTP]

[http_PUT_DELETE_CHEndorid_-CSDN_put_delete]: https://blog.csdn.net/CHEndorid/article/details/111277629
[HTTP]: https://www.cnblogs.com/LeeXiaoFeng/p/10436667.html
[891d9e0914cd134c9ae9aa75f7553a98.png]: https://img-blog.csdnimg.cn/img_convert/891d9e0914cd134c9ae9aa75f7553a98.png
[24191e393aa85c8bf173abf0b01bc95c.png]: https://img-blog.csdnimg.cn/img_convert/24191e393aa85c8bf173abf0b01bc95c.png