PUT和DELETE方法

事情是这样，某社交平台上有个兄弟发帖，说自己刚入职国企，写了个借口，用了PUT和DELETE方法，前段说不能用这两个，这位仁兄感觉很委屈，特地发帖吐槽。

其实站在安全的角度来说，真没冤枉你，这都啥年代了，作为开发，这几本的安全开发规则都不懂啊，PUT和DELETE方法是危险方法，基本上在开发中是被禁止使用的。

PUT方法：首先你使用了PUT方法，就证明你的服务器开启了PUT方法，既然你能用PUT方法上传正常业务的文件或者数据，那黑客就能利用你这个接口来上传他想上传的文件，我就以IIS PUT文件上传的洞来解释一下（我在我的中的第六章框架漏洞中，共讲了65个框架漏洞，几本涵盖市面常见的框架漏洞）：

1、web安全中详细讲解了PUT方法的利用，先使用OPTIONS验证PUT方法是否可以使用

2、确认了PUT方法可用后使用PUT方法上传txt（这里也可以直接上传木马）文件

3、可以看到服务器上被上传了好多测试的txt文件

除了iis还有tomcat服务器也是同样具备PUT方法上传木马的漏洞，在PUT方法启用的情况下，可以直接上传shell

-ENDING-

一个人走的很快，但一群人才能走的更远。这个星球🔗里面已经沉淀了：

与此同时小编也在网络安全中摸爬滚打近10年，也会分享安全类解决方案、售前ppt等，快点加入我们吧（链接中优惠卷失效的话直接点下方优惠卷哦）。

趁着星球刚成立，给的优惠还很大，大家可以闭眼进，未来价格只会越来越贵。目前星球成立1个半月了，已经有100+球友了.

推荐站内搜索：最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……

宙飒天下

刚入职，写接口用了PUT和DELETE方法，结果被同事喷了，感觉自己被针对了