2024年不安全的HTTP方法,你们觉得作为一名程序员最大的悲哀是什么

于 2024-05-05 15:14:25 发布
阅读量278 收藏 8
点赞数 4
分类专栏: 程序员 文章标签: 安全 http 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84544434/article/details/138467168
版权
本文强调了程序员在职场中持之以恒学习的重要性,特别是HTTP方法(GET、POST与不安全方法)的应用。同时,讨论了网络安全问题,推荐了系统化的学习资源和网络安全成长路线,鼓励团队合作和知识共享以促进技术提升。
摘要由CSDN通过智能技术生成

写在最后

在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

一、HTTP方法

HTTP方法是一组用于与web服务器通信的协议命令。

最常被用到的方法是:GET和POST

GET、POST和HEAD是HTTP 1.0定义的三种请求方法。

OPTIONS、PUT、DELETE、TRACE和CONNECT是HTTP 1.1新增的物种方法。

1.GET

GET用于请求已经被URL识别的资源。如果请求的资源是文本,那么就保持原来的样子返回;如果是网关接口那样的程序,则返回经过执行后的输出结果。用于向服务器查询某一些信息。

2.POST

POST方法用于将实体提交到指定的资源,通常导致在服务器上的状态变化或副作用。

GET和POST的区别

(1)GET方法用于信息获取;POST方法是用于修改服务器上资源的请求,只有使用HTTPS才能加密安全。

(2)GET请求可以被缓存;POST方法不能被缓存。

(3)GET请求有长度限制 (IE限制在2KB,Chrome,FireFox浏览器理论上对于URL是没有限制的,真正的限制取决于操作系统本身);POST请求对数据长度没有要求。

(4)GET请求只能进行url编码,而POST支持多种编码方式。

(5)GET参数通过URL传递,POST放在Request body中。

(6)GET请求会被浏览器主动cache,而POST不会,除非手动设置。

(7)GET在浏览器回退时是无害的,而POST会再次提交请求。

GET和POST的相同之处

(1)GET 和 POST,用的都是同一个传输层协议,所以在传输上没有区别。

(2)GET 方法 和 POST都可以传输实体的主体 (但一般不用GET方法进行传输,而是用POST方法;虽然GET方法和POST方法很相似,但是POST的主要目的并不是获取响应的主体内容)。

3.其他不常见方法

二、不安全的HTTP方法及危害

在所有的HTTP方法中,安全界认为PUT、DELETE、TRACE是不安全的,另外WebDAV中的几个方法,RFC 5789中的PATCH方法也被认为是不安全的。(TRACE容易引发XST攻击,PATCH修改资源的部分内容,PUT/DELETE没有认证机制等)

1.OPTIONS

OPTIONS方法,将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。

2.PUT

PUT方法,由于PUT方法自身不带验证机制,利用PUT方法即可快捷简单地入侵服务器,上传Webshell或其他恶意文件,从而获取敏感数据或服务器权限。

3.DELETE

利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。

4.TRACE

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84544434
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
作为一个Java程序员你应该会什么.pdf
11-28
作为一个Java程序员你应该会什么.pdf
安全HTTP方法
最新发布
Decaede的博客
02-27 1503
HTTP方法是一组用于与web服务器通信的协议命令。最常被用到的方法是:GET和POSTGET、POST和HEAD是HTTP 1.0定义的三种请求方法OPTIONS、PUT、DELETE、TRACE和CONNECT是HTTP 1.1新增的物种方法
安全http方法
热门推荐
秋水的博客
09-06 1万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法OPTIONS、PUT、DELETE、TRACE 、CONNEC...
如何使用搜索技巧来成为一名高效的程序员
02-21
没有人是完全独立的孤岛,每个人都是整体的一部分。——约翰·多恩对于缺乏编程知识的人来说,完全有可能编写一个网页或小程序。如果在用Google搜索相关示例时幸运的话,可以搜到现成的代码。即使是经验丰富的程序员...
程序员最害怕的事情是什么?
03-23
程序员最害怕的事情是什么?...当然,虽然如此,这并不意味着程序员不会偶尔的由于害怕工作上差错而在夜里惊醒,冒一身冷汗。  程序员最害怕什么?根据对程序员讨论组里一些帖子回复情况的不完全统计
2024程序员跳槽全攻略
12-27
2024程序员跳槽全攻略旨在为程序员提供一套全面的策略和指南,帮助他们在变动的市场环境中顺利切换职业跑道。本攻略涵盖了多个关键知识点,包括但不限于以下内容: 1. **个人评估与定位**:在决定跳槽前,首先...
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
安全测试-渗透测试-不安全http方法问题及解决方案.doc
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
(九)不安全HTTP方法
weixin_30394333的博客
06-12 908
01漏洞描述 《HTTP | HTTP报文》中介绍了HTTP的请求方法。在这些方法中,HTTP定义了一组被称为安全方法方法:GET、HEAD、OPTIONS、TRACE,这些方法不会产生什么动作,不会在服务器上产生结果,只是简单获取信息。相对的,能产生动作的方法就会被认为是不安全HTTP方法。 注意,安全方法不一定什么动作都不执行,比如在登陆时用GET方法传输数据,这个时候GET...
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3515
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
安全HTTP方法(渗透实验)
b13001216978的博客
06-03 857
安全HTTP方法(渗透实验) 1.使用 curl -v -X OPTIONS url(含目录) 获取允许访问的http method(该命令同时支持linux和windows系统) 例如:curl -v -X OPTIONS http://127.0.0.1:8080/ 转载于:https://www.cnblogs.com/wtujvk/p/9136567.html ...
【低危】不安全HTTP方法
ak761636411的博客
02-26 1200
【1】漏洞名称:不安全HTTP方法 【2】漏洞描述:不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 其他说明方式如图所示: 【3】检测案例: 步骤1:Burp...
在公司里面,你作为一名2经验的java程序员,如何持续贡献
05-25
作为一名2经验的Java程序员,要持续贡献需要不断学习和进步,以下是一些建议: 1. 深入学习Java相关技术和框架,例如Spring、Hibernate、MyBatis等,不断提升自己的技术能力和水平。 2. 参与开源项目或自己开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值