Patch HTTP su un'API riposante

2

Ho appena eseguito una scansione di sicurezza contro un'API in fase di sviluppo utilizzando Secure PRO. Ha segnalato una potenziale vulnerabilità su alcuni metodi perché il verbo HTTP Patch è disponibile.

Capisco che PATCH sembra aggiornare le risorse se non esistono. Supponendo che l'API implementi correttamente l'autenticazione e assicuri di possedere una risorsa prima di aggiornare qualsiasi dato, c'è qualcosa di intrinsecamente insicuro sul verbo HTTP PATCH o dovrebbe essere disabilitato?

    
posta iainpb 11.01.2017 - 17:26
fonte

1 risposta

6

No, non esiste alcun rischio inerente alla sicurezza che viene fornito con la gestione del verbo PATCH .

Il tuo browser non applica politiche di sicurezza diverse a PATCH rispetto a PUT o DELETE . Invece, l'impatto sulla sicurezza dipende dall'implementazione del metodo da parte del server.

Come regola generale, dovresti mantenere la superficie di attacco il più piccola possibile e disabilitare i metodi non necessari.

Vedi anche: Come sfruttare i metodi HTTP

    
risposta data 11.01.2017 - 19:17
fonte

Leggi altre domande sui tag