Skip to content

HTTP Verb Tampering 漏洞 #453

New issue
New issue
Closed
Closed
HTTP Verb Tampering 漏洞#453
Assignees
LordofAvernus
Labels
bugSomething isn't workingpublish-pre3verified已经由测试验证过的issue
Milestone
v4.2505.0
@LordofAvernus

Description

@LordofAvernus
LordofAvernus
opened on May 16, 2025

背景

使用Acunetix 对DMS做一次安全扫描。报告指出了一个高危漏洞:HTTP Verb Tampering(HTTP 动词篡改),发生在 URL http://10.186.63.107:8080/v1/

漏洞

🛑 漏洞概述:HTTP Verb Tampering
攻击者通过发送非标准或意外的 HTTP 方法(如:WVS, HEAD, TRACE, TRACK 等),绕过原本基于 HTTP 方法的访问控制机制。

🎯 漏洞利用前提
安全控制基于 HTTP 方法(如 GET、POST)

未正确拒绝未列出的动词(如 PATCH、DELETE、WVS 等)

不安全或状态改变的 GET 接口(例如 GET 请求也能删除数据)

🚨 危害影响
绕过认证与授权

获取或修改原本受限的数据

可能导致横向权限绕过、信息泄露、系统破坏

修复方案

  • 后端强制限制 HTTP Method

修复后报告

Image

Metadata

Metadata

Assignees

Labels

bugSomething isn't workingpublish-pre3verified已经由测试验证过的issue

Type

No type

Projects

No projects

Milestone

Relationships

None yet

Development

No branches or pull requests

Issue actions