Почему запрос параметров HTTP небезопасен

Question

Недавно я услышал из проверки безопасности, что параметры HTTP небезопасны вообще, и веб-сервер не должен этого допускать. Может кто-нибудь объяснить причины, почему это так?

Answer 1

ОПЦИИ - это диагностический метод, который возвращает сообщение, полезное в основном для отладки и т. П. Это сообщение в основном сообщает, что удивительно, какие HTTP-методы активны на веб-сервере. В действительности, это редко используется в настоящее время для законных целей, но это дает потенциальному злоумышленнику немного помощи: его можно считать ярлыком, чтобы найти другое отверстие. Теперь это само по себе не является уязвимостью; но поскольку для этого нет реального использования, он просто влияет на вашу поверхность атаки и в идеале должен быть отключен. ПРИМЕЧАНИЕ. Несмотря на вышеизложенное, метод OPTIONS используется в некоторых законных целях в настоящее время, например, некоторые API REST требуют запроса OPTIONS, CORS требует предполетных запросов и т. Д. Таким образом, определенно есть сценарии, в которых OPTIONS должны быть включены, но по умолчанию все равно должны быть «отключены, если не требуется».

источник: https://security.stackexchange.com/questions/21413/how-to-exploit-http-methods

Answer 2

HTTP Options глагол может разгласить конфиг/отладочные данные на веб-сервере и как таковая должна быть разрешена только, если это законно необходимо. Прочитайте это прошлое на бирже стеки безопасности

https://security.stackexchange.com/questions/21413/how-to-exploit-http-methods

REST API, чтобы использовать параметры, и я считаю, что должно оставаться включено.