在OWASP 2014(https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf),我们有:Owasp ASVS标准是否禁止使用非标准HTTP方法?
V 11.2(第31页):验证应用程序只接受定义 组的HTTP请求方法,如GET和POST和未使用的方法 是明确地受阻。
这是否表示我们不能使用任何标准HTTP方法?如果是的话,我们可以说WebDAV不符合OWASP ASVS标准吗?但如果答案是否定的,是否有任何正式文件,博客文章或常见问题解答?
简单的回答是NO的名单!我问了Owasp ASVS项目的领导者安德鲁范德斯股票。这是我的问题:
亲爱的OWASP ASVS项目负责人(丹尼尔& Vanderaj),
我想知道,如果OWASP ASVS 2014 1级迫使我们只使用 标准的HTTP方法(GET,HEAD, POST,PUT, DELETE,CONNECT,OPTIONS,TRACE)或者我们也可以使用非标准化的Http 方法呢? (由像什么 的WebDav(https://en.wikipedia组织/维基/ WebDAV的文档中列出来)一样。)
对于
他回答我:
我觉得主要驱动力不用担心哪个方法是 可用,但是如果它们是必需的并且安全配置。
从本质上讲,我们要求:所有方法都默认拒绝 除外:正一套允许的方法,所有这些方法 正确并牢固地配置
例如,OPTIONS和头部Chrome需要在执行预先 CORS检查AngularJS和其他应用程序,并且许多应用程序需要PUT和 DELETE。因此这些方法是必要的。如果您使用新的 方法(例如“示例”),则您的想法是您不接受任何 等其他字词,如“RIDICULOUS”,并且“EXAMPLE”正确 被配置为安全。
因此,如果WebDAV也因任何原因而被启用,那么确保它被妥善保护是至关重要的 。 可能存在一个坚实的原因(例如SharePoint),但是允许匿名用户覆盖你的网站或改变事情并不好。
感谢,安德鲁
我读到这里的方式是,只要您定义接受哪些请求方法并阻止其他任何方法,您就可以使用任何您想要的方法。
只定义了一组
是不一样的,你不能使用没有标准,它,如果你不使用POST,你应该明确地阻止POST
这样说,例如作为GET和POST
这里GET和POST是方法的示例,而不是可用方法的完整列表。
因此,使用与您的需求,适合的方法,但是验证应用程序不接受任何要求不接受请求
我觉得就像你。但是我需要一个正式的参考资料(OWASP网站上的常见问题解答或博客文章),以便将其展示给我们的安全实验室。 –
@MahmoudMoravej - 你引用的文字**是一个正式的参考文献,明确地说。一个正式的参考文件,确认它说的是一个字典或英语语法指南。 – Quentin