HTTP Methods

• Categoría:

• Configuration

• Referencia:

• OWASP-CM-001

Descripcion:

Esta prueba tiene como objetivo asegurarse de que el servidor web no permita el uso de métodos HTTP peligrosos como PUT y DELETE de forma descontrolada.

Herramientas recomendadas:

• Burp Suite
• Curl
• N-Map

Recomendaciones para realizar la prueba:

Con N-Map verificamos qué métodos están totalmente permitidos por el servidor: nmap -p80 –script http-methods [mi IP]. En el caso de que nos devuelva PUT, PATCH o DELETE, probar con Burp Suite si nos permite guardar un nuevo archivo, tal y como se muestra en https://unaaldia.hispasec.com/2018/09/explotando-el-metodo-put-para-vulnerar-servidores-web.html. Con curl también se pueden ver los métodos permitidos.

Permitir el uso de estos métodos sólo en rutas específicas.