我查了一下,put、delete和post并无本质不同,怎么反驳这个bug,有人能把论点论据都摆出来么
补充还有个options, 主要查出来的就是options,put、delete 是顺带让禁用的
不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击,从而进行网站钓鱼、盗取管理员cookie等。
建议:关闭除GET、POST外的HTTP请求方式。
直接百度上复制的
历史上有 IIS-PUT 漏洞,也有 Apache-TRACE 漏洞,都是特定谓词才产生的问题。
所以你们运维讲的确实是有道理的……
个屁啊!
历史上因为 GET/POST 产生的漏洞明明更多好么,有多少提权都是 GET/POST 产生的?为啥不把 GET/POST 也禁止了呢?
你们运维的思路就是典型的头痛医头脚痛医脚。
P.S.1 如果你是给甲方干活,甲方有规章制度要求就是只能用 GET/POST,那你就老老实实听安排就行了。
P.S.2 英文技术界确实也有“Unsafe/Insecure HTTP Method”的说法,不过年代都很久远,并且挺针对 WebServer 的,低版本的 IIS 和 Apache / Tomcat 是重灾区。
P.S.3 楼下 @_usw 贴了个参考资料,注意看里面说的“安全方法”只有 GET、HEAD、OPTIONS 这仨哟,POST 不在其中哟~问问运维 POST 也不安全为啥不禁止呢?
4 回答13.2k 阅读✓ 已解决
2 回答3.2k 阅读✓ 已解决
2 回答3.2k 阅读✓ 已解决
2 回答1.2k 阅读
极客观点
项目管理
HarmonyOS
不安全的说法就是从这来的:
https://developer.mozilla.org...
你可以先反问他们,PUT和DELETE产生了什么安全威胁