使用 HTTP 动词篡改的认证旁路

漏洞报告：

使用 HTTP 动词篡改的认证旁路。

漏洞描述：

该问题是指不使用规范的访问方式也能返回页面内容。

解决办法：

如果使用基于HTTP方法的访问控制，配置web服务器以仅允许所需HTTP方法。也就是根据实际业务需求，屏蔽某些请求。

比如屏蔽非GET、POST类型请求。实际操作如下：

（1）如果是iis环境，在网站根目录新建web.config配置文件，并在文件中加入以下代码：

<security>
   <requestFiltering>
     <verbs allowUnlisted="false">
       <add verb="GET" allowed="true" />
       <add verb="POST" allowed="true" />
     </verbs>
   </requestFiltering>
 </security>

（2）如果是Apache环境，在网站根目录新建.htaccess配置文件，并在文件中加入以下代码：

<LimitExcept GET POST>
    Order Allow,Deny
    Deny from all
</LimitExcept>

如果在.htaccess中有其他规则，在放在其他规则前面即可，如下所示：

<LimitExcept GET POST>
    Order Allow,Deny
    Deny from all
</LimitExcept>
<IfModule mod_headers.c>
  Header set X-Download-Options noopen
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^article-([0-9]+)-([0-9]+)-([0-9]+).html index.php?m=content&c=index&a=show&catid=$1&id=$2&page=$3
RewriteRule ^category-([0-9]+)-([0-9]+).html index.php?m=content&c=index&a=lists&catid=$1&page=$2
</IfModule>