不安全的HTTP方法通常包括PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE等。這些方法可能被惡意攻擊者利用,例如:
PUT:由於PUT方法自身不帶驗證機制,惡意攻擊者可以上傳木馬等惡意檔案。
DELETE:利用DELETE方法可以刪除伺服器上特定的資源檔案,造成惡意攻擊。
TRACE:可以回顯伺服器收到的請求,主要用於測試或診斷,但存在反射型跨站漏洞,惡意攻擊者可以利用該方法進行跨站跟蹤攻擊(XST)。
為了防止這些不安全的HTTP方法被濫用,應該限制這些危險的方法的訪問許可權,如果不需要使用上述HTTP方法,應關閉不必要的方法,只留下GET、POST方法。例如,對於TRACE方法的修復建議包括利用apache伺服器的rewrite功能對TRACE請求進行攔截。