Ho appena eseguito una scansione di sicurezza contro un'API in fase di sviluppo utilizzando Secure PRO. Ha segnalato una potenziale vulnerabilità su alcuni metodi perché il verbo HTTP Patch è disponibile.
Capisco che PATCH sembra aggiornare le risorse se non esistono. Supponendo che l'API implementi correttamente l'autenticazione e assicuri di possedere una risorsa prima di aggiornare qualsiasi dato, c'è qualcosa di intrinsecamente insicuro sul verbo HTTP PATCH o dovrebbe essere disabilitato?