HTTPメソッドチェッカー
URLで有効になっているHTTPメソッド(GET、HEAD、POST、PUT、DELETE、PATCH、TRACE)をテストします。TRACE(XST)や不要なPUT/DELETEなどの危険なメソッドにフラグを立てます。評級:A-F。
HTTPメソッドチェッカーの使い方
- 1許可されたHTTPメソッドをテストするURLを入力してください。
- 2ツールはOPTIONSリクエストを送信して主要なHTTP動詞をテストします。
- 3結果は各メソッドの許可/拒否ステータスとリスクレベルを表示します。
- 4危険なメソッド(TRACE、PUT、DELETE)と推奨事項を確認してください。
Zenovayアナリティクス
関連ツール
よくある質問
どのHTTPメソッドがセキュリティリスクですか?▾
TRACEが最も危険です。クロスサイトトレーシング(XST)攻撃を可能にし、HttpOnlyが設定されている場合でも、悪質なXSSペイロードとともにTRACEリフレクションを悪用してクッキーを盗むことができます。PUTとDELETEは無制限の場合は危険です。攻撃者がファイルをアップロードまたは削除できるようになる可能性があります。CONNECTはファイアウォールを回避するプロキシトンネルの作成に使用できます。これらのメソッドは、アプリケーションが明確に必要としない限り、明示的に無効にする必要があります。
サーバーがPUT/DELETEに応答するのに、実際には悪用できないのはなぜですか?▾
PUT/DELETEへの200/204応答は、攻撃者がファイルを上書きできることを必ずしも意味しません。認証、認可ミドルウェア、アプリケーションルーティングが、引き続き権限のないアクションをブロック可能性があります。ただし、これらのメソッドの公開は、サーバーがHTTPレベルでそれらを制限していないことを示しています。ベストプラクティスは、明示的に必要とされない限り(例:REST API)、Webサーバー/ロードバランサーレベルでそれらを無効にすることです。チェッカーはそれらを確認すべきリスクとしてフラグを立てており、確認された脆弱性ではありません。
クロスサイトトレーシング(XST)とは何ですか?また、TRACEが危険なのはなぜですか?▾
XSTは、TRACEがAuthorizationヘッダーとクッキーを含むすべてをエコーバックする攻撃です。クロスサイトスクリプティング(XSS)脆弱性と組み合わせると、攻撃者はJavaScriptを使用してTRACEリクエストを送信し、エコーバックされたクッキーを読み取ることができます。これにより通常JavaScriptがクッキーを読むのを防ぐHttpOnlyフラグを回避できます。OWASPはすべての本番サーバーでTRACEを無効にすることを推奨しています。Apacheでは「TraceEnable Off」を追加してください。Nginxでは「if ($request_method = TRACE) { return 405; }」を使用してください。
Allowヘッダーとは何ですか?このテストとどのように関連していますか?▾
HTTPレスポンスのAllowヘッダー(通常はOPTIONSリクエストから)は、サーバーがリソースに対してサポートするHTTPメソッドを一覧表示します。Allowヘッダーが返された場合、このツールはガイドとしてそれを使用しますが、実際の動作を確認するためにプローブリクエストを送信します。一部のサーバーは、実際にサポートしているより少ないメソッドをアドバタイズしています。Allowヘッダーが返されない場合、選別されたテストセット内のすべてのメソッドが直接プローブされます。
一般的なWebサーバーでTRACEを無効にするにはどうしたらいいですか?▾
Apache:httpd.confまたは.htaccessに「TraceEnable off」を追加します。Nginx:サーバーブロックに「if ($request_method = TRACE) { return 405; }」を追加します。IIS:リクエストフィルタリングモジュールを使用してTRACE動詞をブロックします。Node.js/Express:ルートハンドラーの前にTRACEリクエストを拒否するミドルウェアを追加します。ロードバランサー(Cloudflare、AWS ALB):カスタムWAFルールを設定してTRACEをブロックします。ほとんどの最新CDNは自動的にTRACEをブロックします。