关于HTTP协议的安全隐患问题

1.错误配置导致安全隐患

服务器存在允许PUT方式和MOVE方式，这时我们可以通过PUT方式传一个webshell.txt，然后再结合MOVE方式结合解析漏洞，这样就可以很快拿到网站的webshell.

2.HTTP头中安全隐患

在PHP中通过使用$_SERVER["HTTP_CLIENT_IP"]或者$_SERVER["HTTP_X_FORWARDED_FOR"]来获取IP。

因此，我们可以通过http头中的X-Forwarded来进行攻击。

例如；1.突破服务器访问限制IP。（可以在请求的header中加入键值对x-forwarded-for:IP,IP可以设置成动态的，伪造IP，可以用于密码试探多次被封锁IP的情况）（当然只限于在HTTP中获取，安全狗就不行，因为他是通过TCP三次握手来获取IP的）

2.http头注入攻击等。（除了这样因为IP 是要存于数据库的还可以在把x-forwarded-for:IP改成x-forwarded-for:IP‘，如果出错，说明存在注入，这时可以直接构造exp）