Che cos'è un limite di dimensioni della richiesta "appropriato" per un servizio Web?

0

Il punto 18.4 di OWASP ASVS dice

Verify that all input is limited to an appropriate size limit.

Attualmente ho un limite di input di 50 MB su tutti i servizi web. (E sembra che questo sia il default in Microsoft Windows). Immagino che un limite così alto permetta un attacco denial-of-service facile, specialmente se più servizi possono essere attaccati contemporaneamente. Questo limite è troppo alto? E come si dovrebbe trattare con servizi che richiedono richieste più grandi?

    
posta floworbit 27.06.2017 - 11:18
fonte

1 risposta

1

Dipende da cosa sta facendo il webservice.

Vorrei riscrivere questa riga OWASP per: "Verificare che tutto l'input sia limitato a una dimensione appropriata per il servizio".

Quindi se controlli l'input puoi impostare la dimensione in base a questo, se il servizio accetta dimensioni variabili, ad esempio immagini o file, dovrai scegliere un limite di cui sei soddisfatto e ha senso per l'applicazione. Non ha senso impostarlo su 1 GB se il servizio prevede immagini scattate con uno smartphone, ad esempio.

    
risposta data 27.06.2017 - 16:47
fonte

Leggi altre domande sui tag