HTTP方法覆盖攻击详解

1. 题目描述
HTTP方法覆盖攻击是一种利用Web服务器或应用程序对HTTP方法处理的特性来绕过安全限制的攻击技术。攻击者通过伪造HTTP请求头（如X-HTTP-Method-Override），将实际请求方法（如危险的PUT、DELETE）伪装成无害方法（如GET或POST），以绕过防火墙、代理服务器或应用层安全检查。这种攻击可能导致未授权数据修改、API滥用或防御机制失效。

2. 攻击原理与背景

• HTTP方法的作用：标准HTTP方法包括GET（读取）、POST（提交）、PUT（替换资源）、DELETE（删除资源）等。Web应用通常基于方法类型实施访问控制（如只允许GET/POST，禁止PUT/DELETE）。
• 方法覆盖的起源：某些框架或中间件（如Ruby on Rails、Express.js）支持通过请求头覆盖原始方法，初衷是为了兼容不支持所有HTTP方法的客户端（如浏览器表单仅支持GET/POST）。
• 攻击机会：若服务端未严格验证原始方法与覆盖头的一致性，攻击者可利用此特性将恶意请求"伪装"成合法方法。

3. 攻击步骤分解
步骤1：探测服务器是否支持方法覆盖

• 攻击者发送试探性请求，例如：

  POST /api/user/delete/123 HTTP/1.1
  X-HTTP-Method-Override: DELETE
  

• 观察响应：若服务器执行了DELETE操作（返回200状态码），则表明支持方法覆盖。

步骤2：分析安全防御的盲点

• 假设防火墙规则为："拦截所有PUT/DELETE请求，但放行GET/POST"。
• 攻击者构造如下请求绕过防火墙：

  POST /admin/resource/5 HTTP/1.1
  X-HTTP-Method-Override: PUT
  Content-Type: application/json
  {"malicious_data": "injected"}
  

• 防火墙看到的是POST请求（允许通过），而服务器实际处理的是PUT请求。

步骤3：组合其他攻击技术

• 结合CSRF：通过恶意页面发送方法覆盖请求，诱骗已登录用户执行敏感操作。
• 配合API滥用：若RESTful API依赖方法进行权限校验，覆盖方法可能导致越权访问。

4. 实际案例场景

• 场景1：绕过WAF规则

  • WAF配置：阻止DELETE /api/users/{id}。
  • 攻击请求：

    POST /api/users/123 HTTP/1.1
    X-HTTP-Method-Override: DELETE
    

  • 结果：WAF未检测到DELETE方法，攻击成功。

• 场景2：利用浏览器限制

  • 浏览器表单无法直接发送PUT请求，但可通过隐藏字段覆盖方法：

    <form action="/resource/1" method="POST">
      <input type="hidden" name="_method" value="PUT">
      <input type="text" name="data" value="hacked">
    </form>
    

  • 服务器解析_method参数后执行PUT操作。

5. 防御措施
措施1：禁用不必要的覆盖功能

• 在Web框架配置中显式关闭方法覆盖支持（如Express.js中禁用methodOverride中间件）。

措施2：严格校验请求方法

• 应用程序应优先使用原始HTTP方法（如REQUEST_METHOD），而非覆盖头。
• 若需支持覆盖，应限制允许覆盖的方法类型（如仅允许POST覆盖为PUT）。

措施3：多层验证

• 在网络层：配置防火墙/WAF同时检查原始方法和覆盖头。
• 在应用层：对敏感操作实施二次认证（如要求输入密码）或使用令牌验证。

措施4：标准化API设计

• 遵循RESTful规范，避免依赖非标准头实现核心功能。
• 使用HTTP方法匹配操作意图（如GET只读，PUT/DELETE需强授权）。

6. 总结
HTTP方法覆盖攻击本质是利用服务端对HTTP语义处理的宽松性。防御关键在于严格区分"客户端兼容性特性"与"安全边界"，并通过代码审计、配置检查及纵深防御降低风险。