restful:put操作资源可能存在的安全问题

最新推荐文章于 2024-05-02 13:31:38 发布
最新推荐文章于 2024-05-02 13:31:38 发布
阅读量4.8k 收藏 1
点赞数

REST定义:REST(Representational State Transfer ),有中文翻译为"具象状态传输"(也有:"代表性状态传输")。是由 Roy Thomas Fielding博士 在2000年就读加州大学欧文分校期间在学术论文中提出的一个术语。他首次系统全面地阐述了REST的架构风格和设计思想。这篇论文是Web发展史上一篇非常重要的技术文献,他也为WEB架构的设计与评判奠定了理论基础。

操作资源的方式也是增删改查(CRUD)

    1.若要在服务器上创建资源,应该使用 POST 方法。 

    2.若要检索某个资源,应该使用 GET 方法。 

    3.若要更改资源状态或对其进行更新,应该使用 PUT 方法。 

    4.若要删除某个资源,应该使用 DELETE 方法。

=============================================

最近负责安全的同事发现网站有IIS漏洞的风险,原因是开启了PUT方法,于是查了一下,貌似真会出现问题


IIS漏洞:http://www.cnblogs.com/tdcqma/p/6125789.html

以下是找了一些大神的回答








目前看到的结论是继续使用get,post快哭了




http://www.cnblogs.com/rollenholt/p/3693229.html

https://www.zhihu.com/question/38770182

https://www.v2ex.com/t/373770



毛毛潇洒
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PUT/DELETE 为何成了 HTTP 协议中的不安全方法
weixin_46099455的博客
08-28 6222
由于 Nginx 在设计时,或许是为了减轻小白的上手难度,在开启 WebDAV 时没有强制要求用户必须配置访问认证,这导致了某些 SB 用户在公网上开启了 WebDAV 而没有进行认证配置,从而导致了安全问题。导致服务器上的数据泄露或获取服务器权限。总结: PUT/DELETE 在 HTTP 协议中是否安全主要跟代码逻辑相关,并非是使用了这种方法就造成访问不安全,由于代码是运行在容器中,如果容器配置不当,会导致一些安全风险安全工程师并不理解代码背后的逻辑,从而将 PUT、DELETE 给一刀切了。...
关于HTTP中put方法不安全问题
weixin_45718351的博客
02-24 4253
PUT方法是否安全 我敢很确定的说,从http协议的角度来说,put方法并不存在是否安全问题,它和其他的协议一样,只是标志为type不同(他们的http协议中字段是不同的,但是影响不大,只是浏览器的同源策略的问题)。HTTP他只是一个协议,一个规则。他自身没有是否安全,而不安全的只能说是设计的服务器不安全。 为什么说put方法不安全 我大概查了一下,之所以会说put方法不安全是因为服务设计的缺陷,导致的put方法不安全,而让大众记住的是CVE-2017-12615这个安全漏洞。他存在于Tomcat 7.0
Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
最新发布
weixin_45653478的博客
05-02 951
在Apache Tomcat服务器中,PUT方法通常用于上传文件。攻击者可以通过发送PUT请求,将恶意文件上传到服务器。当攻击者发送PUT请求时,Tomcat服务器会将请求中的数据写入指定的文件。如果攻击者能够控制文件路径,那么他们可以将恶意文件写入任意位置,从而实现任意文件写入。
lsof |grep delete卡住_【1029】put/delete不要用,不安全
weixin_40006133的博客
11-07 876
一直想写一下这个话题,但是每次都忘记没有时间写;在最开始问题的出现,是以前的一个客户说,你们为什么要用 put/delete 方法?这很不安全;我随便上传个文件都能上传,这样服务器中毒风险很高。从运维安全方面来说,的确,能随便上传个有毒脚本上去不就被执行了吗?那么索性就禁用 put/delete 方法。这个观点先不讨论,先看规范。在 RFC1945 /1996 年 http 1.0 中定...
http的PUT、DELETE不安全
u014644574的博客
12-19 9464
本文主要记录我们的讨论过程及结论,具体测试代码就不贴了。 一、背景 最近研发让我开一下服务器的put、delete方法,被我以不安全的http方法给拒绝了。 研发表示我很无理,put怎么就是不安全的了,在他看来,put和post只是语义上的不同。如果put是不安全的方法,那么post也是不安全的方法了。 网上的说法也是分为两派,一派说这些都是不安全的方法,要关掉;另一派说它们只是语义上的区别,不存在安不安全。 二、一探究竟 经过我和研发各自编写测试用例来论证后,我明白了为什么会有这样的分歧:我是
HTTP请求方法的安全
Cloud-Future的博客
04-03 1661
首先,本文所说的HTTP方法的安全性是RFC 7231规范中定义的一种方法公共属性,它并不是说能够防止外部的攻击,而是一种语义。 什么是HTTP方法的安全性? HTTP方法的安全性是HTTP方法的一种属性,并不代表“安全”的方法就不会遭受外部的攻击,这种“安全”针对的是服务器上的资源。 一般的,请发方法对服务器上的资源是只读的,我们就认为这种方法就是安全的。 哪些方法是安全的 RFC7231规范中定义了HTTP协议支持的8个标准方法,分别为GET,HEAD,POST,OPTIONS,PUT,DELETE,C
PHP编写RESTful接口
10-22
RESTful是一种Web服务设计风格,它强调资源的概念,并使用HTTP方法(GET、POST、PUT、DELETE等)来执行CRUD(创建、读取、更新、删除)操作。通过这种设计,接口变得更简洁、更安全,并且对开发者友好。 首先,让...
RESTful API 设计最佳实践1
08-04
这意味着API应使用HTTP协议的固有方法(GET、POST、PUT、PATCH和DELETE)来操作资源,这符合HTTP方法的语义。资源通常由名词表示,如“票”、“用户”和“小组”,而不是动词,避免暴露实现细节。每个资源都有相应的...
RESTful webservice 和 SOAP webserivce 对比及区别
09-24
它将Web服务看作是一组 资源,每个资源都有其唯一的URI,使用标准的HTTP方法(GET、PUT、POST、DELETE)来操作资源。SOAPWebService则采用RPC(Remote Procedure Call)架构风格,将Web服务看作是一组远程过程调用,...
详解Spring框架之基于Restful风格实现的SpringMVC
08-30
Restful风格是一种软件架构风格,基于HTTP协议,使用简单的URL路径来表示资源,使用HTTP方法来表示操作Restful风格的优点是易于理解和实现,易于扩展和维护。 三、Spring MVC实现Restful风格 要在Spring MVC中...
restful研究资料整理
07-28
2. 统一资源接口(Uniform Resource Interface):使用标准的HTTP方法操作资源,如GET、POST、PUT和DELETE。 3. 资源的表述(Representation):客户端获取的是资源的表示形式,而非资源本身,可以是XML、JSON等。 4...
等保问题处理
qq_36486417的博客
09-02 1294
在nginx的server中配置,禁用options请求,即仅仅让GET、POST类型请求通过,其余不安全的请求方式返回403状态码,代码如下。安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最不要使用,他们认为不安全。在Nginx里还可以通过指定一个SERVER_NAME名单,只有这符合条件的允许通过,不符合条件的返回403状态码。检测应用是否在请求目标站点时返回的URL是直接将Host头拼接在URI前。
面试官:你说 HashMap 线程不安全,它为啥不安全呢?
石杉的架构笔记
11-26 835
扫描下方海报试读本文来源:http://cnblogs.com/developer_chan/p/10450908.html我们都知道HashMap是线程不安全的,在...
初学“RESTful“(RESTful增删改查基础案例) 主要在于PUT/DELETE请求
weixin_46580576的博客
11-20 2168
REST:Representational State Transfer,表现层资源状态转移。①资源:一切皆资源资源是一种看待服务器的方式,即,将服务器看作是由很多离散的资源组成,每个资源是服务器上一个可命名的抽象概念,因为资源是一个抽象的概念,所以它不仅仅能代表服务器文件系统的一个文件,数据库中的一张表等等具体的东西,可以将资源设计的要,只要想象力允许而且客户端应用开发者能够理解.与面向对象设计类似,资源是以为核心来组织的,首先关注的是名词,一个资源可以由一个或者多个URL来标识,
分析RESTful API安全性及如何采取保护措施
Eolink 的博客
07-01 1272
本文中讨论了API安全性和采用安全措施的重要性,如身份验证,API密钥,访问控制和输入验证。 API设计的第一步是撰写接口文档 根据TechTarget(海外IT专业媒体)的定义,RESTful API是一个应用程序接口,它使用HTTP请求来获取GET,PUT,POST和DELETE等数据。从技术层面上看,RESTful API(也称为RESTful Web服务)是一种基于代表性状态转移(RE...
Http协议的Delete和Put方法是做什么的?怎么用?
热门推荐
碧荷故乡_胡奇的专栏
01-08 10万+
一般来说,Web服务器默认的只支持Post和Get这两种“只读”的请求方法。但是随着Ajax XMLHttpRequest 和 REST风格应用的深入,我们发现Http 1.1协议还支持如下请求方法(Request Method):OPTIONSHEADDELETEPUTTRACECONNECTGet是最常用的,就
为什么要用Put/Delete接口Restful API简介
风流倜傥唐伯虎的博客
01-28 2226
博客文章 Articles 嗖嗖搜 Dwg 友链 Friends 一枚萌新 About 文章目录 前言HTTP/1.1的八种方法RestRestful API1、资源和表述2、资源的链接3、状态和转移4、状态码 为什么要用Put/Delete接口Restful API简介 最后更新于2018年11月15日 /7198次浏览 /2次点赞 /0条评论 PATCH,Restful API 前言 最近发现小伙伴们写的API不仅仅有Get/Post,还有大量的Put...
使用SpringMVC 实现RESTful,并解决PUT,DELETE请求无法提交表单数据的问题
zyl_yjy_yi的博客
01-13 230
https://blog.csdn.net/weixin_38703639/article/details/82952604 了解RESTful,使用SpringMVC 实现RESTful 关于REST: 1.表述性状态转移,是web服务的一种架构风格,是一种思想,而非标准或软件。 2. 通常基于使用HTTP,URI,XML、JSON、HTML这些现广泛流行的协议。 3.属于轻量级(使用时没...
【面试】Restful动词中post,patch,put的区别?什么是安全?什么是幂等?哪些动词符合安全幂等?
wuhuagu_wuhuaguo的博客
06-11 1675
HTTP协议本身是一种面向资源的应用层协议,但对HTTP协议的使用实际上存在着两种不同的方式:一种是RESTful的,它把HTTP当成应用层协议,比较忠实地遵守了HTTP协议的各种规定;另一种是SOA的,它并没有完全把HTTP当成应用层协议,而是把HTTP协议作为了传输层协议,然后在HTTP之上建立了自己的应用层协议。本文所讨论的HTTP幂等性主要针对RESTful风格的,不过正如上一节所看到的那...
restful 规范
11-21
RESTful是一种基于HTTP协议构建的网络应用程序的接口风格,它是一种轻量级的Web服务架构风格。RESTful API规范是指在设计和开发RESTful API时需要遵循的一些规范和设计原则,以确保API的可读性、可维护性、可扩展性和可靠性。以下是一些常见的RESTful API规范和设计原则: 1.使用HTTP动词来表示对资源操作,例如GET、POST、PUT、DELETE等。 2.使用URI来标识资源,例如/users/1表示ID为1的用户资源。 3.使用HTTP状态码来表示请求的结果,例如200表示成功,404表示资源存在,500表示服务器错误等。 4.使用JSON或XML格式来传输数据,以确保数据的可读性和可扩展性。 5.使用版本控制来管理API的变化,以确保API的向后兼容性。 6.使用认证和授权机制来保护API的安全性,以确保API的可靠性和可用性。 7.使用缓存机制来提高API的性能,以确保API的可扩展性和可靠性。 8.使用HATEOAS(超媒体引擎状态)来提高API的可发现性和可用性,以确保API的可扩展性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值