(https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf)我々は:Owasp ASVS標準では、標準のHTTPメソッドは使用できませんか? OWASP 2014において
V 11.2(31ページ):アプリケーションがHTTPリクエストメソッドののみ定義 セットを受け入れることを確認し、そのようなGETおよびPOST未使用方法として が明示的ですブロックされます。
標準のHTTPメソッドは使用できません。はいの場合、WebDAVはOWASP ASVS標準に準拠していないと言えますか?しかし、答えがノーならば、正式な文書、ブログ投稿、FAQがありますか?
のリストですべての要求を受け入れないことを確認してください私はOwasp ASVSプロジェクトのリーダーであるAndrew van der Stockに尋ねました。これが私の質問です:
親愛なるOWASP ASVSプロジェクトリーダー(ダニエル& Vanderaj)、
私はOWASP ASVS 2014レベル1の力私たちはちょうど 標準化のHttpメソッド(GET、HEADを使用するかどうかを知りたい、 POST、PUT、 DELETE、CONNECT、OPTIONS、TRACE)または標準化されていないHttp メソッドも使用できますか? (でした)何 のWebDav(https://en.wikipedia ORG /ウィキ/ WebDAVのように文書でそれらをリストすることによって。)
尊重
で彼は私に答えた:
私が主な要因だと思いますについては心配しないでください。の方法は ですが、が必要な場合はと安全に設定されています。
基本的に、私たちが求めている:すべてのメソッドは、デフォルトでを除く 拒否されています許可された方法の正のセットを、すべてのこれらのメソッド は、例えば
を正しく安全に構成され、OPTIONSとHEADは、 Chromeがプレフライトを行うために必要です CORSがAngularJSなどのアプリをチェックしていますが、多くのアプリではPUTと のDELETEが必要です。したがって、これらの方法が必要である。 「EXAMPLE」のような新しい メソッドを使用する場合は、「RIDICULOUS」などの その他の単語も受け入れず、「EXAMPLE」が正しく設定されていることを確認してください。
WebDAVも何らかの理由で有効になっている場合は、 が適切に保護されていることを確認することが重要です。 (SharePointなど)が存在する堅固な理由があるかもしれませんが、匿名ユーザーに を上書きしたり、変更したりすることはできません。
おかげで、アンドリュー
私がこれを読んでいる方法は、あなたが受け入れるリクエストメソッドを定義し、他のすべてをブロックする限り、必要なメソッドを使用できるということです。のみ定義
あなたはどれも標準を使用することはできませんと同じではありません
を設定し、あなたが明示的にPOST
なをブロックする必要がありPOSTを使用していない場合、それは、例えばそれを言いますGETとPOSTとして
ここでは、GETとPOSTは利用可能なメソッドの完全なリストではなく、メソッドの例です。
ので、迅速な答えはNOです!あなたのニーズに合う方法を使用しますが、アプリケーションが許容できない要求
私はまさにあなたのように考えます。しかし私は、セキュリティラボにそれを示すために正式なリファレンス(OWASPウェブサイトのFAQやブログ記事)が必要です。 –
@MahmoudMoravej - 引用したテキストは**正式な言及であり、明示的に言及しています。それが何を言っているかを確認する正式な参考資料は、英語の文法の辞書またはガイドです。 – Quentin