相关推荐

[WebDav] WebDav基础知识

对于WebDav协议的知识整理。结合坚果云WebDav服务，进行了WebDav方法的代码验证。

HTTP协议

全称超文本传输协议 ISO将整个网络通信的功能划分为7个层次(如图所示)常见的传输层协议在各个层理的分布如下了解 HTTP协议是基于Tcp/Ip协议,同时HTTP协议采用请求/响应模型浏览器或其他客户端发出请求，服务器给予响应(http协议永远都是客户端发起请求，服务器回送响应) http header的分类 General header 通用头 Request header 请求头

不安全的HTTP方法

不安全的 HTTP 方法一般包括：PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE 等。不合理的权限配置可能导致网站被攻击者非法入侵。使用Burpsuite抓取网站数据包，修改请求包的方法为OPTIONS，响应包中出现PUT、DELETE、TRACE等不安全的 HTTP 方式。

IIS中间件四大漏洞分析

关于IIS中间件四大漏洞的漏洞原理，漏洞危害，检测条件，检测方法，和修复建议的简要介绍。

HTTP方法

超文本传输协议（HTTP）的设计目的是保证客户机与服务器之间的通信。 工作方式是客户机与服务器之间的请求-应答协议。 GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据 其他 HTTP 请求方法： HEAD 与 GET 相同，但只返回 HTTP 报头，不返回文档主体。 PUT 上传指定的 URI 表示。 DELETE 删除指定资源。 OPTIONS 返回服务器支持的 ...

Windows下使用VisualSVN Server搭建SVN服务器

转自：http://www.3lian.com/edu/2015/05-05/210161.html 使用 VisualSVN Server来实现主要的 SVN功能则要比使用原始的 SVN和Apache相配合来实现源代码的 SVN管理简单的多，下面就看看详细的说明。 　　VisualSVN Server的下载地址如下，是免费的，随意不必有顾虑 　　http://www.vis...

网络安全XSS跨站脚本攻击漏洞和不安全HTTP方法的修补

一、项目背景 一个Springboot+MyBatis+Redis+MySQL的辣鸡小项目。奈何再小的项目也需要保证安全，今天提交给测试部门做渗透测试，打回来两个网络安全漏洞，网上有很多“模糊”的修改办法，我们来看看具体怎么修补吧。 二、漏洞描述 1.不安全的HTTP方法 不安全的HTTP方法一般包括：TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求，主要用于测试或诊断，恶意攻击者可以利用该方法进行跨站跟踪攻击（即XST攻击），从而进行网站钓鱼、盗取管理员

web服务器启用了不安全的HTTP方法

1、什么是不安全的HTTP方法 开发人员、运维人员一般可能用于调试服务器，开启了一些客户端能够直接读写服务器端文件的方法，例如：DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...

web.xml中的security-constraint

/* PUT SEARCH DELETE COPY MOVE PROPFIND PROPPATCH MKCOL LOCK UNLOCK HEAD OPTIONS TRACE PATCH All Role --> BASIC 其中的， All Role 如果有元

svn: PROPFIND request failed on '/svn/trunk/xxx' svn: PROPFIND of '/svn/trunk/xxx': Could not create

svn 同步时报如下错误： svn: PROPFIND request failed on '/svn/trunk/xxx' svn: PROPFIND of '/svn/trunk/xxx': Could not create SSL connection through proxy server (https://. 解决方法：tortoiseSvn setting设置中去掉

(chap9 基于HTTP的功能追加协议) Web 服务器管理文件的 WebDAV

WebDAV（Web-based Distributed Authoring and Versioning）基于万维网的分布式创作和版本控制 1. 定义 一个可对 Web 服务器上的内容直接进行文件复制、编辑等操作的分布式文件系统。功能包括： 创建文件 删除文件 文件创建者管理 文件编辑过程中禁止其他用户内容覆盖的加锁功能 对文件内容修改的版本控制功能。 它作为扩展 HTTP/1.1的协议定义在 RFC4918。 2. 扩展HTTP/1.1的WebDAV 集合(Collection ) 是一种统一

webdav常用方法和概念总结

摘要：本文论述 WebDAV。作为对 HTTP 1.1 的扩展，它已经成为一种重要的 Web 通讯协议。 本文还描述了 WebDAV 的定义，以及它在客户端/服务器结构中的用途。简介随着对 Internet 标准和网络互操作性的日益关注，作为 HTTP 1.1 的扩展，WebDAV（Web 分布式创作和版本控制）已经成为重要的 Web 通讯协议（有关详细信息，请参阅 IETF RFC 2616）。

【夔堂】：程序血泪史之——有一种垃圾语言叫做JavaScript

“Prototype”机制是个半成品OOP，有些文章说这玩意当初为了“简单（编写）、容易（学习）”而发明的，但web前端技术发展到今天我们看到，JS显然是需要OOP的，或者说web前端程序规模增长，需要OOP等更强大、方便的特性、机制。真要简单容易，你干脆不要提供能让人实现OOP的继承机制的p...

请求类型的种类

Web研发初学者对于常用的三种请求，常常会存在一个误区，认为异步通信就等于post请求，有这个误区大概率的可能是他们在学习网络知识的时候，被书中所说到的get请求会发生重定向post不会，以及在自己开发使用时通常向后台提交post请求一个异步通讯用的controller所误导，正确的观点应该是get和post两种请求，并不会影响是否会发生页面跳转，他们两个的区别只是承载请求参数的方式不同以及书中说的是否会显示重定向路由，至于具体的是否发生页面的跳转，还是返回数据是后台决定的。请求可以分为如下类别。...

漏洞挖掘-不安全的HTTP方法

如果文件修改失败，则会返回其他状态码，例如 405 Method Not Allowed。如果文件删除成功，服务器会返回 200 OK 状态码；使用 PROPFIND 方法，客户端可以请求服务器上的资源的属性列表，也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中，几乎是习惯性的看了一眼OPTIONS方法，OPTIONS方法很简单，只需要在请求包里直接将GET/POST方法进行替换，即可看到服务器开启了哪些方法。​使用 DELETE 方法时，客户端向服务器发送 DELETE 请求，并指定要删除的资源。

【基础篇】————13、隐匿攻击之WebDAV

WebDAV是用于Web内容创作操作的HTTP协议的扩展。该协议的一些优点可以在红色团队中使用，因为它是代理感知和隐秘的，因为连接到WebDAV服务器的请求看起来像是通过SvCHOST进程从操作系统本身来的。 PROPFIND方法用于检索存储在WebDAV服务器中的资源的属性。这些属性可以包括文件名，内容长度，创建和修改日期等。 Arno0x0x发现可以通过PROPFIND响应传递有效负载，方...