一、速查总表
| 方法 | RFC定义用途 | 安全风险 | 风险等级 | 典型利用场景 | 真实CVE |
|---|---|---|---|---|---|
| GET | 请求获取资源(只读) | ① 敏感数据暴露在URL(浏览器历史/服务器日志/Referrer头)② 用于状态变更时成为CSRF金矿 ③ 爬虫/搜索引擎抓取私有URL | 🔴 高 | <img>—— 受害者浏览器自动发送带Cookie的GET请求,完成非授权转账 | CVE-2026-23622(CVSS 7.4):Easy!Appointments 的 CSRF 校验只在 POST 生效,GET /admins/update可修改管理员密码,用户名和密码直接暴露在URL中 |
| POST | 提交数据、创建资源 | ① CSRF(无token时)② XXE(XML解析器未禁用外部实体)③ 不受限文件上传 ④ 反序列化攻击 ⑤ 缺少Content-Type校验 | 🔴 高 | 钓鱼页面嵌入自动提交的表单<form action="https://victim.com/api/user/delete" method="POST">配合 CSRF 删除账户;上传avatar.php绕过MIME检查获取Webshell | CVE-2023-20869(CVSS 9.8):VMware Aria Operations for Networks 存在命令注入+CSRF漏洞,攻击者可通过POST请求以root权限执行任意命令,已被CISA列入已知被利用漏洞(KEV)目录 |
| PUT | 上传/替换指定URL的资源 | ① 任意文件上传→Webshell ② 覆盖关键配置文件(如.htaccess)③ 未授权写入导致代码执行 | 🔴 高危 | PUT /uploads/shell.jsp HTTP/1.1上传JSP webshell →GET /uploads/shell.jsp?cmd=whoami远程代码执行。WebDAV默认启用PUT时尤其危险 | CVE-2017-12617(CVSS 8.1):Apache Tomcat 7/8/9 全平台受影响,当DefaultServlet配置readonly=false时,通过PUT请求上传JSP文件并远程执行。Metasploit已有成熟利用模块,CISA列入KEV目录 |
| DELETE | 删除指定URL的资源 | ① 未授权资源删除/破坏可用性 ② Method |
