HTTP Method 관련하여 알아가는 것

해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다.

요즘 업무를 하면서 취약점 점검을 많이하고 있다. 이것저것 하다보니 그냥 개념정리로 작성한다.

메소드에는 기본적으로 GET, POST, OPTIONS, HEAD, DELETE, PUT 가 있다. 뭐 가끔 TRACE 도 사용할때가 있다.

 

주요정보통신기반시설 가이드라인과 같은 항목엔 불필요한 메소드를 없애라고 권고를 하고있다. 기본적으로 GET, POST만 열어두는 곳이 많은데 가끔 메소드가 모두 열려있는 경우가 있다. 

 

간단하게 설명을 해보자면 GET, POST는 생략하고 OPTIONS은 allow되어있는 메소드를 확인할수있게해주는 메소드이다.

curl -v -L -X OPTIONS blog.z3alous.xyz

이렇게 한번 해보면 

이렇게 Allow로 열려있는 메소드를 확인할 수 있다.

 

HEAD는 헤더 정보를 확인하는 것이고 DELETE는 삭제, PUT은 밀어넣는 것이라고 생각하면 된다.

 

만약에 PUT이 열려있다면 파일 업로드가 가능한데 이런식의 구문을 통하여 업로드가 가능하다.

curl -v -L -k https://victim.com/ --upload-file /home/z3alous/Desktop/payload.jsp

이런식의 구문으로 업로드가 가능하다.

저렇게 하면 결과는 이런식으로 뜨게 되는데...

> PUT /test.jsp HTTP/1.1
> Host: victim.com
> User-Agent: curl/7.88.1
> Accept: */*
> Content-Length: 34
> Expect: 100-continue
> 
< HTTP/1.1 100 Continue
* We are completely uploaded and fine
< HTTP/1.1 404 Not Found
< Server: Apache
< Cache-Control: private
< Expires: Thu, 01 Jan 1970 09:00:00 KST
< Set-Cookie: JSESSIONID=; Path=/; Secure; HttpOnly
< Content-Type: text/html;charset=UTF-8
< Content-Length: 1098
< Date: Tue, 08 Aug 2023 06:43:29 GMT
< Connection: close

응답코드 100 Continue가 발생하면서 We are completely uploaded and fine이라는 구문을 보여준다.

근데 404가 연달아 뜨면서 파일은 not found가 된다.... 이 부분은 이해가 잘안가는데 404에러를 잡으면 403 권한문제가 발생하는데  원래는 put을 이용하여 파일을 업로드 하게되면 201 응답코드가 발생하면서 정상적으로 업로드가된다. 

 

403과 404에러가 발생하는 원인은 테스트를 좀해봐야할 것같다. 혹여나 아는 사람있으면 댓글로 알려주면 감사합니다.!!! 

 

할튼 put메소드를 이용하여 파일업로드가 가능하며 악용이 가능하다.

서버를 담당하거나 관리를 하는 입장에선 메소드가 별것이 아닌것같지만 크리티컬한 취약점으로 다가올수 있음을 알고있어야할 것같다.