Vérificateur de méthodes HTTP
Teste quelles méthodes HTTP sont activées sur une URL (GET, HEAD, POST, PUT, DELETE, PATCH, TRACE). Signale les méthodes dangereuses comme TRACE (XST) et PUT/DELETE inutiles. Note A-F.
Comment utiliser Vérificateur de méthodes HTTP
- 1Entrez l'URL pour tester les méthodes HTTP autorisées.
- 2L'outil envoie une requête OPTIONS et teste les verbes HTTP clés.
- 3Les résultats affichent le statut autorisé/rejeté pour chaque méthode avec les niveaux de risque.
- 4Examinez les méthodes dangereuses (TRACE, PUT, DELETE) et les recommandations.
ZenovayAnalytics
Analytics sans aucun bandeau cookies.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Quelles méthodes HTTP constituent des risques de sécurité ?▾
TRACE est la plus dangereuse — elle permet les attaques Cross-Site Tracing (XST) qui peuvent voler des cookies même lorsque HttpOnly est défini. PUT et DELETE sont dangereuses si non restreintes car elles peuvent permettre aux attaquants de télécharger ou supprimer des fichiers. CONNECT peut être utilisé pour créer des tunnels proxy contournant les pare-feux.
Pourquoi mon serveur répond-il à PUT/DELETE mais ce n'est pas réellement exploitable ?▾
Une réponse 200/204 à PUT ou DELETE ne signifie pas nécessairement qu'un attaquant peut écraser des fichiers — l'authentification et le middleware d'autorisation peuvent toujours bloquer les actions non autorisées. Cependant, l'exposition de ces méthodes indique que votre serveur ne les restreint pas au niveau HTTP. La meilleure pratique est de les désactiver au niveau du serveur web.
Qu'est-ce que Cross-Site Tracing (XST) et pourquoi TRACE est-il dangereux ?▾
XST est une attaque où TRACE répercute tout, y compris l'en-tête Authorization et les cookies. Combiné à une vulnérabilité XSS, un attaquant peut utiliser JavaScript pour envoyer une requête TRACE et lire les cookies répercutés — contournant l'indicateur HttpOnly. OWASP recommande de désactiver TRACE sur tous les serveurs de production.
Qu'est-ce que l'en-tête Allow et comment est-il lié à ce test ?▾
L'en-tête Allow dans une réponse HTTP (généralement d'une requête OPTIONS) liste les méthodes HTTP que le serveur prend en charge pour une ressource. Si un en-tête Allow est retourné, cet outil l'utilise comme guide mais envoie quand même des requêtes de sondage pour vérifier le comportement réel.
Comment désactiver TRACE dans les serveurs web courants ?▾
Apache : Ajoutez « TraceEnable off » dans httpd.conf ou .htaccess. Nginx : Ajoutez « if ($request_method = TRACE) { return 405; } » dans le bloc server. IIS : Utilisez le module Request Filtering pour bloquer le verbe TRACE. Node.js/Express : Ajoutez un middleware pour rejeter les requêtes TRACE avant les gestionnaires de routes.