运维扫描 put、delete不安全,让改怎么办
我查了一下,put、delete和post并无本质不同,怎么反驳这个bug,有人能把论点论据都摆出来么
补充还有个options, 主要查出来的就是options,put、delete 是顺带让禁用的
这是原工单:
不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击,从而进行网站钓鱼、盗取管理员cookie等。
建议:关闭除GET、POST外的HTTP请求方式。
直接百度上复制的
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
不安全的说法就是从这来的:
https://developer.mozilla.org...
你可以先反问他们,PUT和DELETE产生了什么安全威胁
历史上有 IIS-PUT 漏洞,也有 Apache-TRACE 漏洞,都是特定谓词才产生的问题。
所以你们运维讲的确实是有道理的……
个屁啊!
历史上因为 GET/POST 产生的漏洞明明更多好么,有多少提权都是 GET/POST 产生的?为啥不把 GET/POST 也禁止了呢?
你们运维的思路就是典型的头痛医头脚痛医脚。
P.S.1 如果你是给甲方干活,甲方有规章制度要求就是只能用 GET/POST,那你就老老实实听安排就行了。
P.S.2 英文技术界确实也有“Unsafe/Insecure HTTP Method”的说法,不过年代都很久远,并且挺针对 WebServer 的,低版本的 IIS 和 Apache / Tomcat 是重灾区。
P.S.3 楼下 @_usw 贴了个参考资料,注意看里面说的“安全方法”只有 GET、HEAD、OPTIONS 这仨哟,POST 不在其中哟~问问运维 POST 也不安全为啥不禁止呢?