我敢很確定的說,從http協議的角度來說,put方法並不存在是否安全的問題,它和其他的協議一樣,只是標誌為type不同(他們的http協議中字段是不同的,但是影響不大,只是瀏覽器的同源策略的問題)。http他只是乙個協議,乙個規則。他自身沒有是否安全,而不安全的只能說是根據http設計的伺服器是不安全,是伺服器存在的bug。
我大概查了一下,之所以會說put方法不安全是因為服務設計的缺陷,導致的put方法不安全,而讓大眾記住的是cve-2017-12615這個安全漏洞。他存在於tomcat 7.0.0 ~ 7.0.79這幾個版本的伺服器中,在之後的版本已經把這個問題修復了。所以現在的tomcat並不會出現put不安全的問題。而對於其他伺服器例如nginx是否安全,我沒有細察。但是我想這麼嚴重的問題應該已經修復了。
如果因為以前有問題現在就否定他,一味的說put方法不安全,卻說不出**不安全,那就是耍流氓。
不安全的HTTP方法
使用options方法列出伺服器使用的http方法。注意,不同目錄中啟用的方法可能各不相同。許多時候,被告知一些方法有效,但實際上它們並不能使用。有時,即使options請求返回的響應中沒有列出某個方法,但該方法仍然可用。手動測試每乙個方法,確認其是否可用。使用curl傳送options請求,檢視響...
關於解決不安全的HTTP方法的驗證方案
最近產品要進行安全漏洞檢查,發現安全的http方法的驗證方案。通過網上找了一些方案,我總結有兩種 一 通過pound前置機來解決,我通過網上的方案驗證沒有通過 原因沒有詳查 方案可 二 通過修改web.xml解決,但是根據網上的方案進行配置,但是問題沒有解決掉。最後無奈我重置了所有的配置檔案,一步一...
關於atomic到底安不安全
atomic 實際上相當於乙個引用計數器,這個大家很熟悉,如果被標記了atomic,那麼被標記了的記憶體本身就有了乙個引用計數器,第乙個占用這塊記憶體的執行緒,會給這個計數器 1,在這個執行緒操作這塊記憶體期間,其他執行緒在訪問這個記憶體的時候,如果發現 引用計數器 不為0,則阻塞,實際上阻塞並不等...