HTTPオプションが安全でないことを要求する理由

Question

最近、セキュリティ監査では、HTTPオプションが一般的に安全ではなく、Webサーバーが許可しないと聞きました。なぜ誰かがその理由を説明できますか？

Answer 1

OPTIONSは診断方法で、主にデバッグなどに役立つメッセージを返します。このメッセージは、驚くべきことに、どのHTTPメソッドがWebサーバー上でアクティブであるかを基本的に報告します。現実には、これは正当な目的で使用されることはめったにありませんが、潜在的な攻撃者に少し助けを与えます。これは別の穴を見つけるためのショートカットと考えることができます。 今、これは実際には脆弱ではありません。実際の使用はないので、攻撃面に影響を与え、理想的には無効にする必要があります。 注：上記にもかかわらず、OPTIONSメソッドは現在、いくつかの正当な目的で使用されています。たとえば、一部のREST APIにはOPTIONS要求が必要です。CORSには飛行前要求が必要です。したがって、OPTIONSを有効にするシナリオは間違いありませんが、デフォルトは「必要な場合を除いて」無効にする必要があります。

ソース：https://security.stackexchange.com/questions/21413/how-to-exploit-http-methods

Answer 2

HTTPオプション動詞は、それが合法的に必要だ場合にのみ許可されなければならないWebサーバー上で、そのように設定/デバッグデータを漏らすことができます。セキュリティスタック交換にこの過去を読む

https://security.stackexchange.com/questions/21413/how-to-exploit-http-methods

REST APIは、オプションを利用すると、私はそれが有効に残るべきだと考えています。