شرح آسیب پذیری:
پروتکل HTTP دارای تعدادی متد Request دیگر به جز GET و POST میباشد که کاربران میتوانند با استفاده از آنها از سرور درخواست خود را تقاضا نمایند. متدهای OPTIONS، HEAD، PUT، DELETE، TRACE و CONNECT دیگر متدهای شناختهشده در پروتکل HTTP میباشند.
در این نوع از حملات، اگر برنامهنویس طراحی صحیحی از متدهای HTTP انجام نداده باشد، ممکن است وبسرور به ازای سایر متدها (به جز GET و POST) به شکلی پیشبینینشده پاسخ دهد و مهاجم به اطلاعاتی دست یابد که نباید دسترسی داشته باشد.
در این نوع از حملات، اگر برنامهنویس طراحی صحیحی از متدهای HTTP انجام نداده باشد، ممکن است وبسرور به ازای سایر متدها (به جز GET و POST) به شکلی پیشبینینشده پاسخ دهد و مهاجم به اطلاعاتی دست یابد که نباید دسترسی داشته باشد.
چگونه این آسیب پذیری را رفع کنیم ؟
– مدیریت صحیح متدهای پروتکل HTTP
– مسدودسازی سایر متدهای غیراستاندارد
– مسدودسازی سایر متدهای غیراستاندارد
