HEAD HTTP e la sua sicurezza rispetto a usi operativi

Naviga le tue risposte
24

La maggior parte dei consigli sulla sicurezza che vedo consiglia di disattivare i metodi HTTP come TRACE , OPTIONS , HEAD ecc. Così ora ho disattivato la maggior parte di queste opzioni sul mio server web e lasciando solo GET e POST opzioni che possono essere restituite. La domanda è, ora alcune delle mie applicazioni stanno usando HEAD e alcuni utenti stanno colpendo gli errori facendo cose nell'applicazione. Il controllo dei log ha rivelato alcune richieste HEAD provenienti dal lato utente. Sospetto che sia perché il mio server ha smesso di rispondere a HEAD , quindi la connessione è caduta. La mia domanda è, SENTIRSI che non sia sicuro mentre leggo che ha anche usi legittimi? o dovrei semplicemente dire ai miei sviluppatori di applicazioni / project manager di cambiare il loro codice? grazie.

    
posta Pang Ser Lark 25.01.2016 - 09:30
fonte

1 risposta

32

HEAD non è pericoloso di per sé e ha usi legittimi. Il problema è con Java EE. Ha un modo per impostare i vincoli di sicurezza usando i file web.xml - ma questi sono applicati solo a GET e POST, non a HEAD. Ciò significa che è possibile bypassare l'autenticazione utilizzando HEAD. Vi sono ulteriori informazioni su questo e altri problemi in questo documento sui test di penetrazione del SANS Institute .

Se questo particolare problema è applicabile alla tua applicazione dipende ovviamente dal server applicazioni e dalle altre misure di sicurezza che stai utilizzando.

    
risposta data 25.01.2016 - 09:39
fonte

Leggi altre domande sui tag

È una chiave privata SSH protetta da passphrase suscettibile a un attacco di dizionario? Fattore di giocoleria e separazione delle funzioni in una piccola squadra?