运维扫描 put、delete不安全,让改怎么办

黒沢
  • 27

我查了一下,put、delete和post并无本质不同,怎么反驳这个bug,有人能把论点论据都摆出来么

补充还有个options, 主要查出来的就是options,put、delete 是顺带让禁用的

这是原工单:

不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击,从而进行网站钓鱼、盗取管理员cookie等。
建议:关闭除GET、POST外的HTTP请求方式。

直接百度上复制的

回复
阅读 420
2 个回答
✓ 已被采纳

历史上有 IIS-PUT 漏洞,也有 Apache-TRACE 漏洞,都是特定谓词才产生的问题。

所以你们运维讲的确实是有道理的……

个屁啊!

历史上因为 GET/POST 产生的漏洞明明更多好么,有多少提权都是 GET/POST 产生的?为啥不把 GET/POST 也禁止了呢?

你们运维的思路就是典型的头痛医头脚痛医脚。

P.S.1 如果你是给甲方干活,甲方有规章制度要求就是只能用 GET/POST,那你就老老实实听安排就行了。

P.S.2 英文技术界确实也有“Unsafe/Insecure HTTP Method”的说法,不过年代都很久远,并且挺针对 WebServer 的,低版本的 IIS 和 Apache / Tomcat 是重灾区。

P.S.3 楼下 @_usw 贴了个参考资料,注意看里面说的“安全方法”只有 GET、HEAD、OPTIONS 这仨哟,POST 不在其中哟~问问运维 POST 也不安全为啥不禁止呢?

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
你知道吗?

宣传栏