第三方web测评机构：【WEB安全测试中HTTP方法（GET/POST/PUT）的安全风险检测】

HTTP安全风险检测方式

GET方法检测

参数暴露

1.查询字符串敏感信息：URL中直接显示token、sessionid等参数
2.浏览器历史记录残留：GET请求被完整记录在浏览器历史中
3.日志泄露：Web服务器日志完整记录含参数的URL
示例检测：使用Burp Suite抓取请求，检查URL是否包含身份凭证（如?token=abcd1234）

数据篡改

1.参数可被用户直接修改：价格、用户ID等关键参数未做服务端验证
2.重放攻击：相同参数重复提交导致业务逻辑异常
3.检测方法：修改参数值（如orderid=1001改为orderid=1002），验证是否越权访问

POST方法检测

CSRF漏洞

验证是否缺失CSRF Token：检查表单是否包含随机token字段
检测Referer验证机制：修改或删除Referer头验证请求是否拒绝
检测工具：使用CSRF PoC生成器构造恶意页面尝试提交请求

数据完整性

参数未签名：关键业务数据（如金额、数量）未做数字签名
缺乏重放防护：相同请求多次提交产生重复业务影响
检测示例：拦截订单请求，修改price参数值后重放，观察是否按修改值成交

PUT方法检测

文件上传漏洞

文件类型绕过：修改Content-Type头部上传可执行文件
路径遍历：文件名包含../等字符尝试覆盖系统文件

检测文件上传漏洞步骤：
1.尝试上传.jsp/.php文件
2.修改文件名../../WEB-INF/web.xml
3.检查返回状态码（200/403）

权限绕过
未验证所有权：直接修改其他用户资源标识符
缺少权限检查：低权限用户尝试创建/覆盖高权限资源
检测案例：将请求PUT /api/users/1001/files/1.txt改为PUT /api/users/1002/files/1.txt

工具自动化扫描

OWASP ZAP：自动测试HTTP方法安全性
Burp Suite Intruder：批量发送不同方法的请求测试
Nmap http-methods脚本：识别支持的潜在危险方法

安全配置验证

检查Web服务器配置：禁用不必要的HTTP方法（如PUT/DELETE）
验证WAF规则：测试是否阻断恶意方法滥用