Недавно я услышал из проверки безопасности, что параметры HTTP небезопасны вообще, и веб-сервер не должен этого допускать. Может кто-нибудь объяснить причины, почему это так?Почему запрос параметров HTTP небезопасен
ответ
ОПЦИИ - это диагностический метод, который возвращает сообщение, полезное в основном для отладки и т. П. Это сообщение в основном сообщает, что удивительно, какие HTTP-методы активны на веб-сервере. В действительности, это редко используется в настоящее время для законных целей, но это дает потенциальному злоумышленнику немного помощи: его можно считать ярлыком, чтобы найти другое отверстие. Теперь это само по себе не является уязвимостью; но поскольку для этого нет реального использования, он просто влияет на вашу поверхность атаки и в идеале должен быть отключен. ПРИМЕЧАНИЕ. Несмотря на вышеизложенное, метод OPTIONS используется в некоторых законных целях в настоящее время, например, некоторые API REST требуют запроса OPTIONS, CORS требует предполетных запросов и т. Д. Таким образом, определенно есть сценарии, в которых OPTIONS должны быть включены, но по умолчанию все равно должны быть «отключены, если не требуется».
источник: https://security.stackexchange.com/questions/21413/how-to-exploit-http-methods
HTTP Options глагол может разгласить конфиг/отладочные данные на веб-сервере и как таковая должна быть разрешена только, если это законно необходимо. Прочитайте это прошлое на бирже стеки безопасности
https://security.stackexchange.com/questions/21413/how-to-exploit-http-methods
REST API, чтобы использовать параметры, и я считаю, что должно оставаться включено.
'OPTIONS' также используется протоколом' WebDAV'. –
- 1. Почему следующий код небезопасен?
- 2. Почему __caller__ небезопасен?
- 3. MYSQL небезопасен, но почему
- 4. Почему метод Thread.stop() небезопасен?
- 5. Почему strncpy небезопасен?
- 6. Почему ArrayList в C# небезопасен?
- 7. Почему этот общий метод небезопасен?
- 8. Запрос параметров Spring и HTTP
- 9. Отправить HTTP-запрос, путаница параметров
- 10. Почему WebSockets без Sec-WebSocket-Key1 небезопасен?
- 11. Почему «example.it» безопасен и «www.example.it» небезопасен?
- 12. передать несколько параметров в HTTP DELETE запрос
- 13. Несколько параметров в http получить запрос
- 14. отправки параметров на запрос HTTP POST
- 15. Как выполнить запрос параметров HTTP в AngularJS?
- 16. Пользовательский протокол браузера небезопасен
- 17. Почему HTTP-запрос отправляется неправильно?
- 18. Почему работает только мой первый HTTP-запрос?
- 19. Профиль PowerShell небезопасен?
- 20. Django 1.5, наконец, небезопасен?
- 21. Is BindingHelperExtensions.updatefrom/Controller.UpdateModel небезопасен?
- 22. Aurelia Post с http-fetch-client, производящим запрос параметров
- 23. Запрос параметров
- 24. Почему View Source выдает новый HTTP-запрос?
- 25. Почему существует дополнительный HTTP-запрос «favicon.ico»?
- 26. HTTP-запрос обратного вызова не выполняется - почему?
- 27. Почему HttpURLConnection не отправляет HTTP-запрос
- 28. Почему простой HTTP-запрос очень медленный?
- 29. Почему запрос Http с Fiddler быстро вспыхивает
- 30. Почему я получаю неправильный запрос HTTP 400
Сбивание с толку: «редко используется в настоящее время для законных целей» и «несколько законных целей в настоящее время» в том же ответе, а не обновление, опубликованное спустя годы после факта. Старайтесь быть более ясными. –
«не обновление, опубликованное спустя годы после факта», потому что методы HTTP быстро меняются и полностью отличаются от того, что было в 2013 году. –
@TJ_yesterday Что я имел в виду, так это то, что вы противоречили себе в одной публикации, а не добавляли редактируемые годы позже с противоречивой информацией из-за изменения спецификации или общей среды. –