允许 HTTP 方法(每个目录)
info Nessus 插件 ID 43111
语言:
简介
此插件确定各种 CGI 目录上允许的 HTTP 方法。描述
通过调用 OPTIONS 方法,可以确定每个目录上允许的 HTTP 方法。以下 HTTP 方法被视为不安全:
PUT、DELETE、CONNECT、TRACE、HEAD
许多框架和语言将“HEAD”视为“GET”请求,不过其响应中没有任何正文。如果对“GET”请求设置安全限制,以致只有“authenticatedUsers”可以访问特定 servlet 或资源的 GET 请求,则“HEAD”版本会绕过该限制。此问题可导致未经授权地盲目提交任何特权 GET 请求。
由于此列表可能不完整,如果在扫描策略中启用了“彻底测试”或者将“启用 Web 应用程序测试”设置为“是”,则该插件还会在每个目录上测试各种已知 HTTP 方法,如果它接收到 400、403、405 或 501 响应代码,则将其视为不支持。
请注意,插件输入仅提供信息,不一定表示存在任何安全漏洞。
解决方案
无另见
http://www.nessus.org/u?d9c03a9a
http://www.nessus.org/u?b019cbdb
https://www.owasp.org/index.php/Test_HTTP_Methods_(OTG-CONFIG-006)
插件详情
严重性: Info
ID: 43111
文件名: web_directory_options.nasl
版本: 1.12
类型: remote
系列: Web Servers
发布时间: 2009/12/10
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus