Il punto 18.4 di OWASP ASVS dice
Verify that all input is limited to an appropriate size limit.
Attualmente ho un limite di input di 50 MB su tutti i servizi web. (E sembra che questo sia il default in Microsoft Windows). Immagino che un limite così alto permetta un attacco denial-of-service facile, specialmente se più servizi possono essere attaccati contemporaneamente. Questo limite è troppo alto? E come si dovrebbe trattare con servizi che richiedono richieste più grandi?
Dipende da cosa sta facendo il webservice.
Vorrei riscrivere questa riga OWASP per: "Verificare che tutto l'input sia limitato a una dimensione appropriata per il servizio".
Quindi se controlli l'input puoi impostare la dimensione in base a questo, se il servizio accetta dimensioni variabili, ad esempio immagini o file, dovrai scegliere un limite di cui sei soddisfatto e ha senso per l'applicazione. Non ha senso impostarlo su 1 GB se il servizio prevede immagini scattate con uno smartphone, ad esempio.
Leggi altre domande sui tag denial-of-service web-service asvs