我正在关注本教程http://ruby.railstutorial.org/chapters/updating-showing-and-deleting-users#fnref-9_4,在代码清单9.44之后,作者说在那个特定时刻,任何用户都可以通过命令行中的直接DELETE请求删除,当然我相信这是真的但我不知道怎么检查这个
答案 0 :(得分:0)
您可以使用命令行中的cURL发出HTTP请求,包括DELETE请求。
curl -i -H "Accept: application/json" -X DELETE http://localhost:3000/persons/person/1
**改编自this blog post
答案 1 :(得分:0)
任何足够复杂的攻击者都可以直接从命令行发出DELETE请求,以删除网站上的任何用户。
以下是使用cURL
命令行DELETE调用的示例$ curl -X DELETE http://localhost:3000/users/1
http://localhost:3000/是您应用的路径,1是要删除的记录的ID。
使用cURL,您可以模拟使用浏览器执行的相同请求。您可以使用任何其他HTTP客户端。