cURL是一个利用URL语法在命令行下工作的文件传输工具,1997年首次发行。它支持文件上传和下载,所以是综合传输工具,但按传统,习惯称cURL为下载工具。cURL还包含了用于程序开发的libcurl。
这里我不介绍其他的详细使用方法,仅介绍怎么使用curl来验证 不安全的http方法
漏洞名称:
启用了不安全的HTTP方法
安全风险:
可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。
可能原因:
Web 服务器或应用程序服务器是以不安全的方式配置的。
修订建议:
如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。
验证方法
命令行下输入
curl -v -X OPTIONS http://192.168.1.5
image.png
这里就能看出该web服务器开启了那些方法了
命令介绍
-X/--request [command> | 指定什么命令
- -v | 显示请求详细信息
OPTIONS方法用于描述目标资源的通信选项
参考链接:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Methods
http://man.linuxde.net/curl
网友评论