HTTP方法里藏着哪些安全坑 一、速查总表方法RFC定义用途安全风险风险等级典型利用场景真实CVEGET请求获取资源(只读)① 敏感数据暴露在URL(浏览器历史/服务器日志/Referrer头)② 用于状态变更时成为CSRF金矿 ③ 爬虫/搜索引擎抓取私有URL🔴 高img—— 受害者浏览器自动发送带Cookie的GET请求,完成非授权转账CVE-2026-23622(CVSS 7.4):Easy!Appointments 的 CSRF 校验只在 POST 生效,GET /admins/update可修改管理员密码,用户名和密码直接暴露在URL中POST提交数据、创建资源① CSRF(无token时)② XXE(XML解析器未禁用外部实体)③ 不受限文件上传 ④ 反序列化攻击 ⑤ 缺少Content-Type校验🔴 高钓鱼页面嵌入自动提交的表单form action="https://victim.com/api/user/delete" method="POST"配合 CSRF 删除账户;上传avatar.php绕过MIME检查获取WebshellCVE-2023-20869(CVSS 9.8):VMware Aria Operations for Networks 存在命令注入+CSRF漏洞,攻击者可通过POST请求以root权限执行任意命令,已被CISA列入已知被利用漏洞(KEV)目录PUT上传/替换指定URL的资源① 任意文件上传→Webshell ② 覆盖关键配置文件(如.htaccess)③ 未授权写入导致代码执行🔴 高危PUT /uploads/shell.jsp HTTP/1.1上传JSP webshell →GET /uploads/shell.jsp?cmd=whoami远程代码执行。WebDAV默认启用PUT时尤其危险CVE-2017-12617(CVSS 8.1):Apache Tomcat 7/8/9 全平台受影响,当DefaultServlet配置readonly=false时,通过PUT请求上传JSP文件并远程执行。Metasploit已有成熟利用模块,CISA列入KEV目录DELETE删除指定URL的资源① 未授权资源删除/破坏可用性 ② Method