我最近从一次安全审核中得知,HTTP Options通常不安全,并且Web服务器不应允许它。有人可以解释为什么会这样吗?
小智 5
HTTP选项动词可以泄露Web服务器上的配置/调试数据,因此,只有在合法需要的情况下才应允许这样做。阅读有关安全堆栈交换的文章
https://security.stackexchange.com/questions/21413/how-to-exploit-http-methods
REST API使用选项,我认为应该保持启用状态。
TJ_*_*TJ_ -1
OPTIONS 是一种诊断方法,它返回主要用于调试等的消息。令人惊讶的是,该消息基本上报告了 Web 服务器上哪些 HTTP 方法处于活动状态。事实上,现在很少将其用于合法目的,但它确实为潜在的攻击者提供了一点帮助:它可以被视为找到另一个漏洞的捷径。现在,这本身并不是一个真正的漏洞;它是一个漏洞。但由于它没有真正的用途,它只会影响你的攻击面,最好应该禁用。注意:尽管如此,OPTIONS 方法如今仍用于多种合法目的,例如某些 REST API 需要 OPTIONS 请求、CORS 需要预检请求等。因此,肯定存在应启用 OPTIONS 的情况,但默认值仍应“除非需要,否则禁用”。
来源:https ://security.stackexchange.com/questions/21413/how-to-exploit-http-methods
| 归档时间: |
|
| 查看次数: |
5438 次 |
| 最近记录: |