10: HTTP Metodları Denetimi

• HTTP metodlarındaki açıklıklar şu amaçlarla kullanılır:
• Bilgi toplama
• Sunucu üzerinde yönetim
• Verb tampering
• XST
• Sunucunun ilgili portuna en basitinden telnet ile bağlanarak http metotları yollar, hangilerini desteklediğine göre bilgi ediniriz.
• Sunucu tarafından desteklenen http metotlarını “OPTIONS / http/1.0” komutu ile öğrenebiliriz. Buradaki / kök dizinini ifade ediyor. Hangi dizinde izinlere bakacaksak o dizini veriyoruz komuta parametre olarak.
• Eskiden beri TRACE komutunun kapatılması gerektiği söylenir. Halbuki borwserlar bu açıkığı uzun zamandır engelliyor zaten.
• HTML metotlarından bazıları: GET, POST, HEAD, PUT, DELETE, TRACE, OPTIONS, CONNECT…
• Sunucudaki bütün dizinlerde izin verilen metotları incelemek gerekir; bunu da bizim için otomatize aracımız yapar. Yoksa altından kalkılmaz.
• WebDAV açıklığı… Cadaver uygulaması. Cadaver is a command-line WebDAV client for Unix. It supports file upload, download, on-screen display, namespace operations (move/copy), collection creation and deletion, and locking operations.
• WebDAV (Web-based Distributed Authoring and Versioning): Web üzerinden dağıtık sunucular üzerinde dosya güncelleme işlemleri için http eklentilerini içerir. HTTP 1.1 protokolüne bazı eklentiler ile web dizinlerini yazılabilir hale getirir.
• WebDAV yetkisiz kişilerin erişimine açık olmaması gerekir.
• XST: Cross Site Tracing. Önemini yitirmiştir.
• XSS ile benzerdir.
• Cookie toplamak için kullanılır.
• TRACE metodu genelde hata ayıklama (debugging) için kullanılır. Eğer bu metod ile bağlanıyorsanız bağlantınız kopmadan ard arda istekler yapmanıza yarar. Dolayısıyla istek sonucundan bağımsız cookie alınabilir.
• IE6 sonrası IE sürümleri ve diğer browser'lar TRACE metodunu desteklememektedir.
• Hemen hemen tüm web sunucularından TRACE kapalı gelmektedir.