通常情况下，GET的参数都在URL中，POST的参数都在请求体中，但是如题的情况也有，像使用方法PUT、DELETE的情况也有，这些情况该如何进行安全扫描呢？ ...

一、不安全Http请求头: X-Content-Type-Options(Head字段) X-XSS-Protection(Head字段) X-Frame-Options(Head字段) 在IIS网站->HTTP响应头->修改如下： 改后如图 ...

参考链接： https://blog.csdn.net/linfanhehe/article/details/78470733 ...

<security-constraint> 的子元素 <http-method> 是可选的，如果没有 <http-method> 元素，这表示将禁止所有 HTTP 方法访问相应的资源。 如果 <security-constraint> 中 ...

漏洞名称： 　　启用了不安全的HTTP方法 安全风险： 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因： Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议 ...

关闭tomcat的一些不安全http请求方法： 在tomcat的web.xml或者项目的web.xml中添加以下参数：（图中tomcat版本为7.0.61） <security-constraint> < ...

查看tomcat日志，发现有些请求方式是CONNECT、HEAD，不是正常的请求，决定禁掉这样的。在web.xml上加上下面代码可以禁掉这些请求方式，以这些方式请求服务tomcat将会返回403状态。 （加在tomcat/conf/web.xml下会对整个tomcat生效，加在单个项目下只会 ...

BP（burpsuite）测试不安全的HTTP请求 启用了不安全的HTTP方法，可能会导致攻击者非授权在Web 服务器上上传、修改或删除Web 页面、脚本和文件等。 使用curl测试： curl -v -X OPTIONS http://www.example.com/test ...