Какие основные риски безопасности и целостности данных связаны с использованием HTTP-метода PUT?

Тип вопроса: HTTP и веб-протоколы Вероятность: 23% Категория: AQA / Automation

Ответ

Метод PUT, будучи идемпотентным и предназначенным для полного замещения ресурса, несет несколько критических рисков, если его реализация не продумана:

1. Полная перезапись и потеря данных (Silent Data Loss): PUT заменяет весь ресурс предоставленным representation. Если клиент отправляет неполные данные, отсутствующие поля будут удалены.

  • Пример опасного сценария: Ресурс /users/101 содержит {"id": 101, "name": "Alice", "email": "alice@example.com", "role": "admin"}. Запрос PUT /users/101 с телом {"name": "Alice Updated"} перезапишет ресурс. Результат: {"name": "Alice Updated"}. Поля id, email, role безвозвратно утеряны.

2. Отсутствие контроля версий и конфликты (Race Conditions): Два параллельных PUT-запроса к одному ресурсу приведут к "гонке". Выиграет последний, что может привести к потере изменений первого.

3. Проблемы с авторизацией и массовым присвоением (Mass Assignment): Если сервер слепо доверяет всему телу запроса, злоумышленник может изменить поля, которые не должен (например, role или balance), если они не защищены на уровне модели.

4. Идемпотентность как риск: Хотя идемпотентность — это хорошо для надежности, она может маскировать ошибки. Несколько одинаковых ошибочных PUT-запросов приведут к одному и тому же поврежденному состоянию.

Меры защиты и лучшие практики:

A. Использовать PATCH для частичных обновлений. Стандарт RFC 7396 (JSON Merge Patch) или RFC 6902 (JSON Patch) явно указывают на изменения.

PATCH /users/101 HTTP/1.1
Content-Type: application/merge-patch+json

{"email": "new_alice@example.com"}

B. Реализовать оптимистичную блокировку (Optimistic Concurrency Control) через ETag. Клиент должен предоставить заголовок If-Match с ETag'ом текущей версии ресурса.

PUT /users/101 HTTP/1.1
If-Match: "a1b2c3d4"
Content-Type: application/json

{"name": "Alice", "email": "alice@new.com", "role": "admin"}

Сервер проверяет, совпадает ли ETag. Если нет (ресурс уже изменили), возвращает 412 Precondition Failed.

C. Строгая валидация входных данных и защита от массового присвоения. На сервере явно указывать, какие поля можно обновлять через PUT (whitelist).

// Пример на Spring (Java)
@PutMapping("/users/{id}")
public User updateUser(@PathVariable Long id, 
                       @Valid @RequestBody UserUpdateRequest updateDto) {
    // UserUpdateRequest содержит ТОЛЬКО поля, разрешенные для обновления (name, email)
    // Поле 'role' отсутствует в DTO и не может быть изменено через этот endpoint.
    User user = userService.findById(id);
    user.updateFromDto(updateDto); // Метод копирует только разрешенные поля
    return userRepository.save(user);
}

D. Никогда не использовать PUT для создания ресурсов с клиентским ID. PUT /users/123 для создания пользователя с ID 123 опасен. Для создания использовать POST. PUT должен применяться только к известным, существующим URI.

Вывод: Риски PUT связаны не с самим методом, а с его некорректной реализацией. Ключ к безопасности — использование PATCH для частичных обновлений, обязательная валидация, ETag для контроля версий и принцип наименьших привилегий при обновлении полей.

Ответ 18+ 🔞

Да ты посмотри, на что люди способны, блядь! Вот берут они этот PUT, такой вроде бы простой и понятный, как кирпич, а потом начинается такое, что волосы дыбом, в рот меня чих-пых!

Смотри, в чём главная подстава-то. Говорят: «PUT — он идемпотентный, блядь, это хорошо!». Ну да, хорошо, как же. Отправил запрос раз, отправил сто — результат один и тот же. А теперь представь, что этот «один и тот же результат» — это нихуя не тот результат, который ты хотел, а полный пиздец!

1. Молчаливое самоубийство данных (Silent Data Loss), или «А где всё пропало?» PUT, сука, как бульдозер. Он не «обновляет», он «замещает». Весь ресурс целиком, нахуй! Присылаешь ты только имя, а он берёт и выпиливает всё остальное в мусорку истории, даже не моргнув.

  • Вот тебе живая картинка, блядь: Был у тебя пользователь, целый и невредимый: {"id": 101, "name": "Алиса", "email": "alice@example.com", "role": "админ"}. Приходит какой-то долбоёб (или просто торопыга) и шлёт PUT /users/101 с телом {"name": "Алиса Обновлённая"}. И что получает? А получает он {"name": "Алиса Обновлённая"}. И всё! Пиздец, Карл! Где id? Где email? Где, блядь, role «админ»? Улетели в цифровую бездну, ебать мои старые костыли! Теперь у тебя в системе пользователь-инвалид, и кто-то другой может зайти под админа, потому что роль слетела. Удивление пиздец!

2. Гонки, версии и «Кто последний, тот и прав» Представь, два клиента одновременно тянутся к одному ресурсу с PUT'ами. Первый успел, второй тоже. Кто победит? Тот, чей запрос сервер обработает позже. А изменения первого? Да похуй, их как не бывало! Это как два мужика одновременно начинают красить одну стену с разных концов — в середине встретятся, и будет ебанина.

3. «А можно я себе админку сам добавлю?» (Mass Assignment) Это вообще песня! Если сервер, как доверчивая мартышлюшка, берёт и слепо сохраняет ВСЁ, что ему в теле PUT'а прислали, то злоумышленник может накинуть себе "role": "supergod", "balance": 1000000. И если на бэкенде нет жёсткой фильтрации — всё, пидары налетели, он царь горы.

4. Идемпотентность — обоюдоострый меч Да, если сеть глюкнула, ты можешь слать PUT снова и снова, не боясь создать дубликат. Но если в самом запросе изначально была хуйня, то эта самая хуйня идемпотентно, блядь, запишется сто раз! Ошибка не «схлопнется», а надёжно зацементируется.

Так что же делать, чтобы не обосраться?

А. Хочешь поменять чуть-чуть — юзай PATCH, ёпта! Не надо городить огород. Для частичных обновлений есть специальный инструмент — PATCH. Отправляешь только то, что меняется, и все довольны.

PATCH /users/101 HTTP/1.1
Content-Type: application/merge-patch+json

{"email": "new_alice@example.com"}

Вот и всё, остальные поля на месте, никто не плачет.

Б. Ставь замок на дверь (Optimistic Concurrency Control через ETag). Это чтобы избежать тех самых гонок. Клиент должен сказать: «Меняй только если ресурс всё ещё выглядит так-то».

PUT /users/101 HTTP/1.1
If-Match: "a1b2c3d4"
Content-Type: application/json

{"name": "Alice", "email": "alice@new.com", "role": "admin"}

Сервер смотрит: а ETag-то уже другой, кто-то уже успел тут всё поменять! И отвечает: 412 Precondition Failed. Иди, мол, обнови данные сначала, а потом уже меняй. Красота!

В. Не верь никому, валидируй всё (и защищайся от Mass Assignment). На сервере должен быть чёткий белый список полей, которые можно обновлять через этот конкретный эндпоинт. Всё остальное — игнорируется или вызывает ошибку.

// Допустим, на Spring
@PutMapping("/users/{id}")
public User updateUser(@PathVariable Long id,
                       @Valid @RequestBody UserUpdateRequest updateDto) {
    // Смотри сюда! UserUpdateRequest — это специальная короткая штанишка.
    // В ней только name и email. Поля role там ВООБЩЕ НЕТУ!
    // Какой бы хуйни тебе ни прислали, роль не тронем.
    User user = userService.findById(id);
    user.updateFromDto(updateDto); // Копируем только разрешённое
    return userRepository.save(user);
}

Г. PUT — не для создания, ёбта! Никогда, слышишь, никогда не используй PUT /users/123 для создания нового юзера с ID 123. Это как прийти в чужую квартиру и заявить: «Я тут живу теперь». Для создания есть POST, иди лесом. PUT — только для полной замены того, что УЖЕ ЕСТЬ по известному адресу.

Итог, блядь: Сам по себе PUT не злой. Злой — это программист, который его криво прикрутил. Чтобы не было мучительно больно, запомни: для мелкого ремонта — PATCH, для контроля версий — ETag, для безопасности — жёсткая валидация. И тогда, может быть, твоё API не накроется медным тазом в первую же неделю.

© ХакСобесов, 2026
support@hacksobesov.com