深圳网站建设公司在进行网站设计过程中一些应用程序在Web服务器或应用程序平台层使用控件控制访问。通常，应用程序会根据用户的角色来限制对特定URL路径的访问。例如，在用户不属于“管理员”组，访问/admin路径的情趣可能会遇到拒绝，原则上，这是完全符合合法的访问控制方法。但是，在配置平台级控件时发现错误，这时可能导致未授权访问。
正常情情况下，平台级配置与防火墙策略类似，它们基于以下允许或拒绝访问请求：
 *HTTP请求方法；
 *URL路径；
 *用户角色。
GET方法的最初目的是检索信息，而POST方法的目的是执行更改应用程序的数据或状态的操作。
由于大多数用于检索请求参数的应用程序级API对于方法提交并无限制，以基于正确的HTTP方法和URL路径允许访问，就可能会导致未授权访问，因此，攻击者只需在GET要请求的URL查询字符串提供所需参数，就可以未授权使用功能。
即使平台级规则拒绝访问GET和POST方法，应用程序仍然有可能受到攻击。根据规范，服务器应使用它们用于响应对应的GET请求的相同消息头来响应HEAD请求。因此，大多数平台都能够正确处理HEAD请求，即执行对应的GET处理程序并返回生成HTTP消息头。如果攻击者能够使用HEAD请求增加一个管理用户账户，那么，即使在请求中未收到任何消息主体，他仍然能够成功实施攻击。
某些情况下，对于使用无法识别的HTTP方法的请求，平台会直接将它们交由GER请求处理程序，在这种情况下，通过再请求中指定任意无效的HTTP方法，就可以避开拒绝某些指定的HTTP方法的平台级控制。