Hướng dẫn dùng method trace trong PHP
Giới thiệuHTTP (HyperText Transfer Protocol) cung cấp một số phương thức có thể được sử dụng để thực hiện các hành động trên Web Server (Tiêu chuẩn HTTP 1.1 đề cập đến chúng như các Show RFC 7231 – Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content xác định các
Trên đây, hầu hết các ứng dụng web chỉ cần phản hồi các yêu cầu Đối tượng cần kiểm tra
Làm thế nào để kiểm thử?Khám phá các phương thức hỗ trợĐể thực điều này này, bạn cần một số cách để tìm ra phương thức HTTP được hỗ trợ bởi Web Server. Ở đây, phương thức Để sử dụng tập lệnh
Khi kiểm tra một ứng dụng bạn phải chấp nhận sử dụng các phương pháp khác nhau. Ví dụ: Một dịch vụ Web RESTful, bạn cần kiểm tra kỹ lưỡng để đảm bảo rằng tất cả các
index chỉ chấp nhận các Kiểm thử với PUT Methods
Tận dụng phương thức Kiểm tra bỏ qua kiểm soát truy cậpTìm một trang để truy cập có ràng buộc bảo mật sao cho yêu cầu Nếu ứng dụng web phản hồi bằng
Nếu hệ thống có vẻ dễ bị tấn công, bạn sử dụng CSRF như sau để khai thác vấn đề một cách đầy đủ hơn:
Bạn sử dụng ba lệnh trên, câu lệnh tạo ra người dùng mới và gán mật khẩu và người dùng đó, khi ấy một người dùng được tạo với quyền quản trị. Kiểm tra Cross-Site trên nhiều trang web
Phương thức
Web Server trả về 200 và phản ánh tiêu đề ngẫu nhiên. Để khai thác thêm vấn đề này, bạn sử dụng câu lệnh:
Ví dụ trên hoạt động nếu phản hồi đang được phản ánh trong HTML. Trong các trình duyệt cũ hơn, các cuộc tấn công đã được thực hiện bằng cách sử dụng công nghệ XHR, công nghệ này đã làm rò rỉ tiêu đề khi máy chủ phản ánh chúng (Ví dụ: Cookie, Authorization tokens, ...) và bỏ qua các biện pháp bảo mật như thuộc tính HttpOnly. Cuộc tấn công này chỉ có thể được thực hiện trong các trình duyệt gần đây nếu ứng dụng tích hợp với các công nghệ tương tự như Flash. Kiểm tra ghi đè phương thức HTTPMột số Web Frameworks cung cấp một cách để ghi đè phương thức HTTP, yêu cầu bằng cách mô phỏng các HTTP Verbs bị thiếu chuyển một số tiêu đề tùy chỉnh trong các yêu cầu. Mục đích chính của việc này là để vượt qua giới hạn của một số phần mềm trung gian (Ví dụ: Proxy, Firewall) trong đó các phương thức
được phép thường không bao gồm
Để kiểm tra điều này, trong các tình huống mà các verbs bị hạn chế như Web Server trong ví dụ sau không cho phép phương thức
Sau khi thêm
Biện pháp khắc phục
Công cụ
|