[经验] 通过随机测试渗透发现一些http网站出现的问题

1．现状描述       
通过渗透测试发现该网站使用的中间件存在不安全的HTTP请求，攻击者可以通过Delete、Move、Put等非法请求方法对网站内容进行篡改。
2．脆弱性分析
恶意用户可以通过不安全的HTTP请求对服务器进行攻击，通过非法请求Put一个脚本木马(Webshell)到服务器目录中，这样就可以对网站进行恶意篡改。

建议在中间件配置文件中，禁止Put、Delete等危险的Http方法。同样建议使用宝塔的朋友们（宝塔的防火墙很low） 可以使用云锁来保护机器的安全，至少可以阻挡98%以上的黑客。nginx需要编译，网上有教程。