HTTP动词配置错误: 当我们在Web应用程序中实现GET和POST方法时,您能否建议我测量如何防止Web应用程序中的HTTP动词篡改。
答案 0 :(得分:1)
Open Web Application Security Project维护了一个页面here,用于测试HTTP动词篡改。基本上,您使用实用程序使用每种方法(a.k.a.verb)发送请求,并检查请求是否安全处理。该页面上的关键点是:
尽管每个HTTP方法都可能返回不同的结果,但除GET和POST之外的所有方法只有一个有效结果。 Web服务器应该完全忽略请求或返回错误。任何其他响应都表示测试失败,因为服务器正在响应不必要的方法/动词。应禁用这些方法。