嘟嘟社区

[经验] 通过随机测试渗透发现一些http网站出现的问题


本次信息安全风险测评通过脆弱性测评等手段对随机网站进行测评,预期达到如下两个目的:
1)通过实施风险测评准确了网站存在的安全缺陷和防护现状;
2)为网站上线运行提供数据参考。

1.现状描述       
通过渗透测试发现该网站使用的中间件存在不安全的HTTP请求,攻击者可以通过Delete、Move、Put等非法请求方法对网站内容进行篡改。
2.脆弱性分析
恶意用户可以通过不安全的HTTP请求对服务器进行攻击,通过非法请求Put一个脚本木马(Webshell)到服务器目录中,这样就可以对网站进行恶意篡改。

222.png (29.22 KB, 下载次数: 0)

下载附件

半小时前 上传

建议在中间件配置文件中,禁止Put、Delete等危险的Http方法。同样建议使用宝塔的朋友们(宝塔的防火墙很low) 可以使用云锁来保护机器的安全,至少可以阻挡98%以上的黑客。nginx需要编译,网上有教程。

你说有没有可能当前http method没有move。。
大佬,试试这个 apis.l-api.com