2016-07-25 96 views
0

在OWASP 2014(https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf),我們有:Owasp ASVS標準是否禁止使用非標準HTTP方法?

V 11.2(第31頁):驗證應用程序只接受定義 組的HTTP請求方法,如GET和POST和未使用的方法 是明確地受阻。

這是否表示我們不能使用任何標準HTTP方法?如果是的話,我們可以說WebDAV不符合OWASP ASVS標準嗎?但如果答案是否定的,是否有任何正式文件,博客文章或常見問題解答?

回答

0

簡單的回答是NO的名單!我問了Owasp ASVS項目的領導者安德魯範德斯股票。這是我的問題:

親愛的OWASP ASVS項目負責人(丹尼爾& Vanderaj),

我想知道,如果OWASP ASVS 2014 1級迫使我們只使用 標準的HTTP方法(GET,HEAD, POST,PUT, DELETE,CONNECT,OPTIONS,TRACE)或者我們也可以使用非標準化的Http 方法呢? (由像什麼 的WebDav(https://en.wikipedia組織/維基/ WebDAV的文檔中列出來)一樣。)

對於

他回答我:

我覺得主要驅動力不用擔心哪個方法是 可用,但是如果它們是必需的並且安全配置。

從本質上講,我們要求:所有方法都默認拒絕 除外:正一套允許的方法,所有這些方法 正確並牢固地配置

例如,OPTIONS和頭部Chrome需要在執行預先 CORS檢查AngularJS和其他應用程序,並且許多應用程序需要PUT和 DELETE。因此這些方法是必要的。如果您使用新的 方法(例如「示例」),則您的想法是您不接受任何 等其他字詞,如「RIDICULOUS」,並且「EXAMPLE」正確 被配置爲安全。

因此,如果WebDAV也因任何原因而被啓用,那麼確保它被妥善保護是至關重要的 。 可能存在一個堅實的原因(例如SharePoint),但是允許匿名用戶覆蓋你的網站或改變事情並不好。

感謝,安德魯

1

我讀到這裏的方式是,只要您定義接受哪些請求方法並阻止其他任何方法,您就可以使用任何您想要的方法。

只定義了一組

是不一樣的,你不能使用沒有標準,它,如果你不使用POST,你應該明確地阻止POST

這樣說,例如作爲GET和POST

這裏GET和POST是方法的示例,而不是可用方法的完整列表。

因此,使用與您的需求,適合的方法,但是驗證應用程序不接受任何要求不接受請求

+0

我覺得就像你。但是我需要一個正式的參考資料(OWASP網站上的常見問題解答或博客文章),以便將其展示給我們的安全實驗室。 –

+1

@MahmoudMoravej - 你引用的文字**是一個正式的參考文獻,明確地說。一個正式的參考文件,確認它說的是一個字典或英語語法指南。 – Quentin